Lab: Flawed enforcement of business rules：业务规则执行漏洞

靶场内容

该实验室的采购工作流程存在逻辑缺陷。为了解决实验室，利用这个漏洞购买了一件“轻量级l33t皮夹克”。

您可以使用以下凭据登录自己的帐户： wiener:peter

漏洞分析

• 登录并注意有一个优惠券代码，NEWCUST5。
• 在页面底部，注册 newsletter。您会收到另一个优惠券代码，SIGNUP30。
• 将皮夹克添加到您的购物车。
• 去结帐应用两个优惠券代码以获得订单折扣。
• 尝试多次应用这些代码。请注意，如果您连续两次输入相同的代码，则会被拒绝，因为优惠券已被应用。但是，如果您在两个代码之间交替使用，则可以绕过此控制。
• 重复使用这两个代码足够多的次数，以将您的订单总额减少到少于您剩余的商店信用额度。完成命令以解决实验室。
• 这个漏洞就是一个优惠券规则的一个漏洞，反复横跳

关键截图