前言
最近,金融、银行和证券行业也开始逐渐开放众测。相比于现在SRC挖掘越来越困难的情况,挖掘省地市金融SRC是非常不错的选择。今天分享个在地市金融中发现的逻辑漏洞,漏洞钱虽然不多,足够几次spa了。
某银行小程序零元购
看了这个地市银行挺多web资产,但是感觉waf很多并且没有测试的信用卡,网银业务类基本上没办法入手,在公众号翻到了一个可以直接微信登录的小程序,经过测试发现,某农信旗下公众号中的商城的购物车中存在负值反冲
选择商品加入购物车,抓包
发现数据包中有商品的数量
将数量改成负数,发送包,查看购物车,发现数量为负数,到这里我感觉这个漏洞已经成了。
选择商品,结算
最终价格为负数,订单为0元,实现0元购
修复方案
1.服务器端在生成交易订单时,商品的价格从数据库中取出,禁止使用客户端发送的商品价格。
2.服务器端对客户端提交的交易数据(如商品ID、商品数量、商品价格等)的取值范围进行校验,将商品ID和商品价格与数据库中的数据对比校验,商品数量为大于零的整型数。
3.服务器端在生成支付订单时,对支付订单中影响支付金额的所有因素(比如商品ID、商品数量、商品价格、订单编号等)进行签名,对客户端提交的支付订单进行校验。
如果你是一个长期主义者,欢迎加入我的知识星球,我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款
前面有同学问我有没优惠券,这里发放100张100元的优惠券,用完今年不再发放