记一次逻辑漏洞（3）

原创 青春计协 青春计协 2024-11-29 08:53

GRADUATION

点击蓝字 关注我们

免责申明：

本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号不为此承担任何责任。

思路：

一些可以尝试一些特殊的支付方式，比如：XX电商系统支持的支付方式有哪些？微信、支付宝、、货到付款、银联等，但是其中一个促销折扣这类的版块，不支持某种方式，可以尝试把支付方式进行修改为其他支付方式可以达到不进行支付的绕过，而当订单超时没有进行支付会自动进行取消。

测试：

备注：举例：(非真实漏洞场景)

正常：用户选购商品——下单——付款——跳转抽奖页面——抽奖——结束

错误：用户选购商品——下单——特殊付款(不付款)——跳转抽奖页面——抽奖——结束

危害：

可以无限制的抽奖，因为是未付款所以即使最后结束了该订单但是原本的抽奖机会使用了，如果是抽奖积分/币这类的，可以直接进行商品费用的抵扣，那么是否会造成很低的价格购买商品。

如果商品A价格1000，但是积分最高可抵扣90%，那么只需要付款10%的费用。

影响商家和平台利益！

编辑｜
青春计协

审核｜青春计协