某阅读器支付逻辑漏洞

进击的HACK 2024-12-14 23:55

扫码领资料

获网安教程

本文由掌控安全学院 –  小渣渣 投稿

来Track安全社区投稿~

千元稿费！还有保底奖励~（https://bbs.zkaq.cn）

公司：北京某某教育科技有限公司

奇安信搜索：icp.name=”北京某某教育科技有限公司”

补天不收录上传型XSS漏洞，但是感觉有些必要，当做学习思路，也一起发布出来了，同时支付逻辑漏洞，已经通过，记一次高危，比较简单！！268元的永久会员，使用50元，就可以购买成功！

漏洞一(存储型XSS漏洞)

上传本地图书的界面

首先，我测试了下txt文件，随便输入内容，打开文本就会显示什么内容

我就想试试看看图片会不会显示出来，所以我把代码加上了一句，发现是显示出图片的

接着我加一个JS，，发现是生效的，会弹出alert框

漏洞二（支付逻辑漏洞）

需要注册一个账号密码，我是用QQ注册登录的

用BP开始抓包，把金额调成1的时候，会自动显示199金额，代码目测应该是找不到对应的金额时候，会自动走默认199金额

测试最终，金额定格在50元会员，代码里面应该有限制，VIP的价格不能低于50元，我尝试过修改其他参数，都没有作用，唯一有作用的也就是price参数

修复方案1：增加金额判断逻：在支付逻辑中增加对金额的判断，确保金额不为负数或不合理的大数值。例如，在支付过程中，不仅要检查订单是否支付成功，还要判断支付的金额是否合2：使用加密和校：在请求数据中对涉及金额、数量等敏感信息进行加密，并在服务器端进行校验，确保数据在传输过程中不被篡改。