适合新手小白挖掘的高危逻辑漏洞

1.某天在购买代理时发现代理商推出了一个新活动，一般新活动的校验不是很严格，随便发起一个订单，开启bp抓包测试一下。

img

2.查看抓包内容，能改的参数都改一下，发现改变之后，存在校验，具体就是发送购买的订单数据到后端，后端计算出来相应的金额，和这个count的金额比较，一样就能支付，不一样就会报错

img

img

3.那这就没办法了，虽然可以修改参数，但是没有造成任何损失，但是我还是不甘心，毕竟当时在这个站还存在很多低危的漏洞虽然没用，但是一看就是不太专业的人搭建的，于是我把每个功能点都测试抓包，终于，在购买时间的参数上发现了端倪，这个网站居然是包时和包天的参数居然是用两个参数传输

img

4.我就想后端是会接收第一个day还是第二个day2参数呢，按理说选择包时就会出现day2，包天就出现day，但是开发人员可能忘记删除了，于是我就选择3小时的服务，抓包将包天的参数day改为1。5.刚刚去测试了一下，虽然修复了，但是还是不完善，简单测试了一下，购买3小时可以看到下单是包时的订单

img

但是最终查看服务时间变成1天了

img

最终：相关漏洞已提交漏洞平台~

无偿获取网络安全优质学习资料与干货教程

申明：本账号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法。