No.0
前言
在跟成师傅打众测的时候发现了支付漏洞,可以任意修改金额,而且他家招信息安全岗位,这我不得好好表现一下,万一帮我解决了就业问题岂不美哉。
No.1
第一次零元购
这里简单分享要一下自己的测试经历,技术难度不大只要能想到,会用burp的小白也行
以下是测试过程
直接支付抓它的包,burp启动!
测试发现csahAmount和cashTotalAmount
两个参数,同时修改会报错,只修改cashTotalAmount反而就能成功
根据试出来的规则,成功支付
查看订单,后显示待发货,整理成报告和简历一起发给HR
No.2
第二次零元购
简历发了,HR不理我漏洞他们还给修了,
刚好昨天成师傅上课跟我们讲不要跟个傻子一样就知道修改金额,要考虑考虑四舍五入等等骚操作
我当时就心想这不就说我呢,心里越想越不得劲,所以我又去了,虽然它修复了,但还是被我绕过去了,任你虐我千百遍我却待你如初恋。
burp启动
哦吼,发现直接修改金额没用了
翻了翻包后发现后面多了一个包
尝试修改
好,非常成功,我就当个傻子挺好
就修了个这?看来还是贵司确实需要我。
写个报告再投一次,要是不理我我还来。别人带资进组,我带洞求职。
No.3
网安沟通交流群
扫码加客服小姐姐拉群
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...