Lab: Flawed enforcement of business rules:业务规则执行漏洞

靶场内容

该实验室的采购工作流程存在逻辑缺陷。为了解决实验室,利用这个漏洞购买了一件“轻量级l33t皮夹克”。

您可以使用以下凭据登录自己的帐户: wiener:peter

漏洞分析

  • 登录并注意有一个优惠券代码,NEWCUST5。
  • 在页面底部,注册 newsletter。您会收到另一个优惠券代码,SIGNUP30。
  • 将皮夹克添加到您的购物车。
  • 去结帐应用两个优惠券代码以获得订单折扣。
  • 尝试多次应用这些代码。请注意,如果您连续两次输入相同的代码,则会被拒绝,因为优惠券已被应用。但是,如果您在两个代码之间交替使用,则可以绕过此控制
  • 重复使用这两个代码足够多的次数,以将您的订单总额减少到少于您剩余的商店信用额度。完成命令以解决实验室。
  • 这个漏洞就是一个优惠券规则的一个漏洞,反复横跳

关键截图

image

posted @ 2021-08-20 19:44  Zeker62  阅读(119)  评论(0编辑  收藏  举报