Lab: Flawed enforcement of business rules:业务规则执行漏洞
靶场内容
该实验室的采购工作流程存在逻辑缺陷。为了解决实验室,利用这个漏洞购买了一件“轻量级l33t皮夹克”。
您可以使用以下凭据登录自己的帐户: wiener:peter
漏洞分析
- 登录并注意有一个优惠券代码,NEWCUST5。
- 在页面底部,注册 newsletter。您会收到另一个优惠券代码,SIGNUP30。
- 将皮夹克添加到您的购物车。
- 去结帐应用两个优惠券代码以获得订单折扣。
- 尝试多次应用这些代码。请注意,如果您连续两次输入相同的代码,则会被拒绝,因为优惠券已被应用。但是,如果您在两个代码之间交替使用,则可以绕过此控制。
- 重复使用这两个代码足够多的次数,以将您的订单总额减少到少于您剩余的商店信用额度。完成命令以解决实验室。
- 这个漏洞就是一个优惠券规则的一个漏洞,反复横跳
关键截图
本文来自博客园,作者:{Zeker62},转载请注明原文链接:https://www.cnblogs.com/Zeker62/p/15167981.html