月神漏洞实战分享 | 推广系统的隐秘高危漏洞

推广漏洞非常常见，不管是抖音、快手推广个人的作品，或者是百度、携程等商家的竞价推广，推广的流程都是统一的。在这个时代，流量=金钱，所以但凡发现一个推广漏洞，都是高危起步。

但是推广漏洞国内没有白帽子在研究，就连黑产其实也没有涉猎过多这方面（很多黑产来找我搞推广都被我拒绝了，也希望大家不要因为一时贪心误入歧途）。因为推广系统的复杂性往往藏在业务链路深处——从预算校验、竞价逻辑到扣费规则，任何一环的设计疏漏都可能成为黑产的“提款机”，而多数白帽子甚至企业的安全和业务都对此缺乏系统认知。

今天，我将公开3个典型的推广漏洞原理与防御思路。技术细节或许晦涩，我用我平时上课的方式深入浅出地给大家进行讲解，希望你能从中看到漏洞挖掘的另一种视角。

要是还有不明白的地方，欢迎加入我的交流群，一起探讨交流。

用户开启推广后，系统会检查我们的账户余额是否足够，如果我们的余额足够，那么就进入到下一个流程，检查我们的日预算是否到顶。

那什么是日预算？

日预算就是我们设置的每日最高投流预算，当日到达这个预算后，就会停止计费。处理日预算的方式在全世界分为2种，第一种是到达日预算后，停止推广但是会持续扣费，这就导致了如果我的推广效果好的话，可能我日预算是100元，他结束推广后还会持续扣我1000元，这就大大的降低了用户的产品体验。第二种是国内大多数厂商选择的方式，到达日预算后停止扣费，不会超过日预算。针对这种方式，接下来就在此延展3种漏洞及绕过方式。

推广实操截图

第一种，我们可以直接将日预算改为0.01元，单次点击价格为99元（注意接下来所有绕过方式的单次点击价格都为99元），那么系统实际扣费会被限制在0.01元，但广告排名仍按99元竞价计算。这样即保证了排名第一又保证了只能扣费1分钱，黑产可利用此漏洞零成本霸占头部广告位，企业损失曝光与信誉，平台计费系统形同虚设。提交漏洞的修复建议当然是建议后端对日预算做校验最少为100元。

推广实操截图

那么当他修复后，我们就可以提交第二种绕过方式了，当日预算达到100元后我们把日预算改为200元，推广就又开始了，我们可以大概计算一下扣费时间，比如是30秒，那么30秒后我就把推广改回100元。意思是，日预算触顶后，短暂调高预算（如100→200元），30秒内产生的点击量因系统延迟未被计入扣费，那这期间产生的流量就又白嫖了。这会导致黑产可周期性“脉冲式”修改预算，以极低成本刷取高价值流量。接下来的修复建议是后端校验每次修改日预算时，不可以将这个数值改小，只能比当前的数值大。

修复后，我们就来到了第三种绕过方式，我们还是将推广打满，来到了日预算100元的状态了，这时我们将日预算改为100.01。预算耗尽后，每次仅增加0.01元（如100→100.01元），系统误判为新预算周期，重启扣费流程。产生点击后，只能扣除1分钱，这就又和第一种方式一样了，一分一分往上增加即可。

提交漏洞时一定要按照这个步骤来提交，这样就成功的在同一个接口上完成了3次漏洞提交，而且都是高危起步。你们有没有发现其实开发被我们牵着鼻子走了，看似在帮助他们提供修复建议，实际上是给开发挖了个坑跳，而这个坑只有我们能够看的出来，为什么连审核也没有发掘这里面是坑？可能大多数人过度聚焦支付、注入等传统漏洞，忽视业务链路中的“软逻辑”风险，所以你掌握了这些逻辑，你就多了更多的机会。

其实我的课程就是这样，不仅要给你们讲特殊漏洞，还要给你们讲为什么会出现这个漏洞？我们一定要学会举一反三，而不仅仅是“漏洞复现手册”。

关于SRC漏洞挖掘可能有些同学不是很了解，SRC有非常多的业务，那些老业务、老测试方式已经越来越卷了，而我这次的课程将带大家往手游安全方面拓展，并且针对老业务带领大家去测试一些新接口，从app、web、游戏，多个角度讲解漏洞，学会多种业务的漏洞挖掘。通过“漏洞推演-绕过设计-防御升级”的三段式教学，培养独立挖掘复杂逻辑漏洞的能力。

我始终相信，安全的核心是共识而非对抗。

希望通过这门课程，能让更多开发者理解“漏洞为何发生”，让更多防御者学会“比攻击者多想一步”。

学员好评截图

学习福利 | 三人拼团享专属优惠

为鼓励技术交流，FrrrBuf推出开年福利，3人拼团价7288元（原价7888元），仅限前50组。

加椰子进我的交流群，和我一起探讨交流吧。

如果你也厌倦了零散的知识碎片，想系统攻克业务逻辑漏洞——