正文

目标为target.com

在购物车中添加一些商品并尝试下订单，同时观察到一个post api调用/cart/session这个接口，其中只有一个参数,即cartID，它投6位数值，例如:cartID=123456，这里检查了请求的响应，并观察它包含所有用户详细信息，包括电话号码和电子邮件地址,这里决定暴力破解此参数，尝试暴力破解最后4位数字，发现这个参数容易收到IDOR的攻击。

对于一些请求，观察到“此购物车ID已过期”的错误消息。根据这里的理解，服务器为用户分配了一个唯一的购物车ID，而客户试图发起支付，这个购物车ID仅在一小时内有效。这是一个高严重性问题，但我的目标是找到一个业务逻辑问题，所以这里继续测试。

这里有100个积分，可以抵用100元，当使用这些积分的时候，应用程序执行以下的http请求:

为了检查响应，这里进行拦截，在响应中观察到折扣价格，将其改为零，并forward这里的响应，发现在app中修改后的订单价格为0。

尝试下这个订单，可能需要支付实际金额。由于应用程序中的订单金额为零，为了测试它我尝试下这个订单，令人惊讶的是，订单成功了。

如果你是一个长期主义者，欢迎加入我的知识星球(优先查看这个链接，里面可能还有优惠券)，我们一起往前走，每日都会更新，精细化运营，微信识别二维码付费即可加入，如不满意，72 小时内可在 App 内无条件自助退款

往期回顾

xss研究笔记

SSRF研究笔记

dom-xss精选文章

2022年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips