【赏金猎人】折扣政策绕过漏洞

原创 Fighter001 重生者安全 2024-02-18 23:59

前言：这是在私人计划发现的bug，
Target:
 https
://bhojdeals.com这篇文章会演示：未经授权的操作漏洞，绕过 Waf 和防火墙安全，未经身份验证的优惠券创建漏洞，价格操纵漏洞，价格调节漏洞。

点击My account来到个人订单这里，选择1285.00这个订单

输入优惠卷，点击Apply

到下面选择支付类型

点击付款，可以看到提示下订单成功

点击转到订单看详细信息

此时这个价格时还没有添加优惠卷的，在下面取消订单

重新回到账户选择一个商品可以看到现在价格是1274.00输入优惠卷，burpsuite开启拦截，点击Appy

拦截数据包查看响应

修改响应的状态为1

放开数据包后回到订单页面进行下订单到订单详情页面可以看到从1274.00变成1156.60

喜欢朋友可以点点赞转发转发

免责声明：本公众号不承担任何由于传播、利用本公众号所发布内容而造成的任何后果及法律责任。未经许可，不得转载。