实战SRC|某交友APP一分钱买会员漏洞
2024-3-9 22:51:11 Author: mp.weixin.qq.com(查看原文) 阅读量:28 收藏

某交友APP一分钱买会员漏洞

前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请联系。

由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!

漏洞详情: 

某交友APP存在逻辑缺陷,用户可以通过修改会员价格用一分钱购买价值388元的会员(玩的就是白嫖~)。

发挥会员钞能力还怕找不到npy,解锁无限畅聊,右滑喜欢不受限

发现过程:

首先在点点数据看下app的下载量,一千多万次的下载量,实际使用用户应该还是挺多的。

在模拟器中安装好后登录,到开通会员界面,选择价值388的会员套餐(要买就买最贵的),抓到下面这个数据包,price参数代表的是价格。

经过了各种尝试,最终发现价格最低只能到0.01,再低就会创建订单失败,看来不能零元购了

修改价格为0.01后放包、支付。

支付一分钱后就成功买到价值388一年的会员了

最后来看看会员的特权都有什么,这么多的特权一分钱拿到,岂不是美滋滋。

漏洞已报送相关单位且已修复。

如果你是一个长期主义者,欢迎加入我的知识星球,我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款
前面有同学问我有没优惠券,这里发放100张100元的优惠券,用完今年不再发放

往期回顾

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzMTIzNTM0MA==&mid=2247493809&idx=1&sn=5dd53565883e5ea283fecd371d80aa4a&chksm=e8a5e2d2dfd26bc4ed9ec04aa634aa0713eeb7b751b348e94703d8f2cf2c8a3aa2567686baed&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh