业务逻辑漏洞

支付漏洞

修改商品数量

案例一

价格减少（负数、小数）（这个很多）

http://wooyun.2xss.cc/bug_detail.php?wybug_id=wooyun-2016-0226613

商品一 一个价格为2588元

商品二 一个价格为0.75 元 注意价格 后续会有大用

加入购物车 去购物车结算

点击立即结算抓包 把 num5=1改成num5=-3450

价格成功修改

支付页面也成功

问题：漏洞成立点是什么？

案例二

加入购物车

提交订单时 获取数据包

将商品数量 修改为小数

修改成功

付款的时候就从3.8元变成0.38元

价格修改

案例一

点击订阅

修改参数 price为0.01

界面显示为199 但扫码后是修改成功了

成功修改

会员成功到期

案例二

点击购买 起始价格为1500

点击支付

修改参数

修改为0.15

支付也只需0.15

四舍五入

思想 ：假设商城默认只取到0.00 但是你输入的 0.019 系统会自动匹配到0.02 相当于你薅了0.001的羊毛

以会员重置为例
充值 0.19 付款 0.019 实际充值 0.02

整数型溢出

整数型溢出 导致支付异常 支付成功

int的最大值为2147483647

在测试过程中尝试修价格>2147483647，若溢出，那么中奖啦，支付状态，支付成功

2147483648-2147483647=1

>2147483647 有可能为0 也有可能为1 也有可能为其它数

最后的结果为0元购，购买的价格 为溢出后的

整数型溢出其它的思路

商品数量 只要那种带了数字 都可以尝试

订单并发

新人价 双十一 双十二等节日 具有首单、部分商品限制优惠

将此类订单尝试并发，若并发成功，代表突破限制，一次优惠，多次使用

订单退款，重复获取优惠价格（优惠卷）

下一个订单 （有优惠的【比原价要低的】、抢票【比较珍贵的】）

订单退款（优惠卷复用）

订单重放，替换发送包

订单不支付，获取发送包，重复下单，重复享受优惠

Burp suite

发送包

去抢演唱会的门票

买了一张 之后 你把买的数据包保存

1、下一次你去买其它演唱会的门票

2、对响应包作修改（类似于修改状态码）

订单 重复扫码支付 薅羊毛

首单会员优惠 一个二维码 重复扫

如何重复扫：

1、一个二维码 一个人 一台手机 重复扫 拦截数据包（或者保存二维码 直接扫）

2、一个二维码 多台手机 重复扫（可能更加追求速度）

结果：会员时间累计

其实类似于签约漏洞

挖洞不可能不亏钱的 这一步没走出去

会少很多钱

高危 1k

遍历id 隐藏商品购买

（商品 会员 活动 这些带有可遍历的参数 又涉及金钱的 都可以去遍历id 去看是否存在隐藏或者过期并未真正删除的）

不要觉得这个洞不值钱 认识的大佬，高危3k，这个洞（id遍历 最后面发现了一个0元购的商品 并且价值比较高 0-999999-900000）0-1000 0-9999

下订单 发现商品可遍历

遍历 id 成功获取隐藏商品 太糊了 将就看看吧

大佬案例

遍历id 获取1元购商品 白嫖福利

正常情况下，商品已隐藏，无法购买

由于开发人员的疏忽

隐藏商品对应的其实有两种情况

1、开发人员 专门用来测试的 虚拟商品
2、过期商品 giftid:1 gift:99

不可遍历怎么测试

其实会有的想法

最简单 的 在双十一 双十二（持续化的）

订单id 越权查看订单信息

1、找规律
2、产生不同的数据包 获取不同的不可遍历参数id

订单详情，任意点击去一个：

点击爱心纪念

拦截数据

orderID可遍历 遍历其它的

盲盒 透明型

花钱抽奖 后获取9个盲盒 选择一个

在获取9个 盲盒时 拦截 数据包 查看响应包 发现盲盒的具体礼品泄露

后续选择时 直接 选择想要的

点击抽奖的时候 直接拦截数据包

1. 在发送包出现

2. 在返回包中出现

1 2 3

4 5 6

7 8 9

id:9 西瓜

id:8 1000

3. 点击

将id:9修改为id:8

name="西瓜"

丢包 直接放弃

修改支付状态

类似于 网站通过响应码判断是否成功 200 为成功

修改返回包

登录失败 201

登录成功 200

修改成支付成功的状态码

此外还有，例如A订单完成，B订单未完成

付款时尝试把订单B的单号给成订单A，也可能会导致未付款直接显示完成。

案例

平台

雷神众测：https://www.bountyteam.com/

360：https://zhongce.360.net/

漏洞盒子：https://www.vulbox.com/projects/list

补天：https://www.butian.net/Reward/plan/2（严格意义上 不算）

门户网站

遇到很多次 基本上只要我遇到一次 就会成功一次）

(网图，别当真）

一个门户网站，内部会嵌套多个系统
系统会根据不同的用户提供不同的嵌套系统

逻辑破坏点

系统会根据不同的用户提供不同的嵌套系统，添加系统时，越权添加得到更高级用户的系统或同级用户不同的系统

那么数据包一般长什么样呢

POST asdasdada
xxxx
xxxxxxx
xxx

modules={1,2,3,4,5,6,7,8,9,10}

越权的情况

modules={1,2,3,4,5,6........,85}

多了很多不是此用户拥有的系统

a
b账户的权限

如何快速利用

借助ai，给你免费打工

或者写一个python脚本

危害

1、添加系统-越权
2、更多的系统代表更多的资产，能拥有的面就更多了

1个系统
通过破坏得到10多个系统

登录逻辑缺陷绕过-比较特殊

场景：一般情况下，有些比较恶心的系统存在二次校验

二次校验形式：
账号密码+手机号码（验证码）
手机号码（验证码）+扫码登录
扫码登录+账号密码（比较少见）
一般都是上述方式的组合
突发奇想，本来是测另外一个漏洞

手机扫码

用户需要激活

设置手机号，输入号码，显示本地无该手机号，因此此手机号码未在白名单中

绕过方法：刷新界面，绕过二次验证，然后就进去了

原理：二次验证未作好鉴权

nginx界面

如何挖掘？

方法一

一层一层的爆破，这类漏洞不是不能挖，也不是没资产没系统，只是你的路径没找对！

第一次爆破 dirsearch

第二次爆破 dirsearch

访问目的地址，功夫不负有心人，跑了5个小时，敏感信息泄露

方法二

构造 路径

常见的构造：/login /admin /register /logut /api /v1/user

借助工具构造：findsomething

这种思路在企业SRC挖掘也需要多多利用，搞对了路径，你就比别人多了很多的资产，并且这类资产很好挖掘，因为别人会忽略或者不想去触碰，因为比较麻烦

银行小众测

纵向短信轰炸

面向人群：对某个人进行轰炸
受害方：某个人、短信费用承受方（付费接口）

横向短信轰炸

面向人群：对批量人群进行轰炸
受害方：短信费用承受方

案例

点击忘记密码

发送短信，无验证码校验

抓包修改手机号码

爆破数据 批量发送短信

疑似被黑-情报

关注公众号

访问疫情动态，自动跳转，疑似被黑

工作水洞

中间件版本信息泄露漏洞

分析错误页面：尝试访问常见中间件的默认页面或错误页面，这些页面可能会泄露中间件类型和版本信息（构造错误路径或访问默认页面泄露中间件版本信息）

漏洞提交平台

测试思路（怎么测）

1、商品兑换-商城 理解成为商城

• 并发 0元购
• 隐藏商品
• 小数
• 负数
• 整数溢出
• 四舍五入

2、提交漏洞

• 存储型XSS
• 越权 ssrf
• 短信ddos
• 文件上传
• 遇到编辑器 并不是说 只有内容编辑可以测 只要它存在框子就可以测XSS

3、排行榜

• 敏感信息泄露 （1、泄露用户的漏洞标题 2、泄露用户的兑换礼品）
• 标题有脆弱资产信息
• 用户礼品可以知道地址，手机号（隐藏的用户信息）

案例

编辑器XSS 中危 500

1、看<h1>1</h1>是否解析 （测无危害的标签）
2、批量打payload 逐步的进行 查看f12 看哪个标签过滤 如何过滤 如何去绕
3、查看报告，看哪个payload执行了
4、交报告

隐藏礼品购买

忽略 但后面给了一份价值100的礼品

{id:12}
{id:1} 0-100 0-999999
隐藏商品的来源：
1、测试人员在开发系统的时候 忘记将测试的商品删除
2、之前放在商城的商品或者活动，过期了，但是没有从代码层面下架

验证码复用

原理

当服务器端受理请求后,没有将上一次保存的session及时清空,将会导致验证码可重复使用

正常情况下，验证码具有一次性性质，即一旦使用或验证，就会失效，防止攻击者重复使用相同的验证码。

修复方案

• 实施强化的身份验证机制，避免过于简单或易受攻击的验证码生成算法。

• 针对特定用户或 IP 实施频率限制，以减缓攻击尝试的速度。

• 使用一次性验证码，确保每个验证码只能成功验证一次

案例

1、登录时 可使用的验证码，退出登录后，验证码能再次使用；
2、验证码为摆设，系统有验证码，但是是失效的。

time:1
yzm:&1&
后端作了一个校验
time:&1&
yzm:&1&

招聘网站

核心：简历——编辑——投

1、多次投递，突破简历上限，增加曝光度：
思路 ：
单个职位只能投递一次 并发数据包
所有职位只能投递一个 破坏他的逻辑
①替换请求包的参数
②点击+并发

2、查看他人投递：功能点：查看简历
未授权，危害：查看每个岗位的投递量，导致恶意竞争
登录系统 一个历史 数据包 我去除cookie 发现是未授权

3、编辑简历，文件上传，造成XSS：

路径寻找，提交的数据包，预览的数据包，泄露访问路径，成功导致XSS

4、越权：
越权编辑、越权保存（含有敏感数据的一定要尝试越权）
5、文件遍历：

6、简历编辑，XSS尝试

在线客服

在线客服

附件、越权、XSS
附件：任意文件上传(中危，无回显)、存储型XSS(上传型、代码型)
越权：
①查看历史消息，修改数据包【置空page或一些具有数据特征的值】
②get型，修改参数如 sadasd.asdasd/dasd/userid=1
③post型，修改参数 如下：

匿名发言 溯源用户导致获取匿名用户信息

一般的业务 匿名发言就代表对用户的个人信息是保护性

我是一个文章的发布者
xx同学对我很有意见
在评论区怼我 恶意的评论
我要淦它
拿到真实信息
线下开搞

数据包寻找用户的特征识别数据

匿名评论 出现authorID 类似于ID的内容 就是用户的特征值

在其它数据包中，寻找类似带有此参数的数据

关注接口，虽然参数名不一样，但数字一样

验证

最后成功溯源，高危到手

商城-消耗商品数量导致其它用户无法购买商品

案例

加入购物车 消耗产品数量

加入购物车后，发现无时间限制，但是其它人无法购买

下订单 交了两个 说重复 证明是收的！！！
下订单 不付款 商品被锁定
2小时 3小时
无时间限制 一直处于未支付的状态 100% 两个中危 但是重复了

描述：商品购买存在业务逻辑，加入订单无自动退订，自定义脚本导致全站用户无法购买商品

修复方案：限制用户加入订单的时间

小程序三要素泄露导致任意用户登录

学习

https://mp.weixin.qq.com/s/v6nwNwsnUtNMKooxdiQ_9g
https://mp.weixin.qq.com/s/Q5onwwDX27-o5YrWVvjuOw
https://mp.weixin.qq.com/s/jGk6h_lDwJtt78IfrE4pww
https://mp.weixin.qq.com/s/QkF6vW5hYSuCXNzZJAxj-g
https://mp.weixin.qq.com/s/kmntaimPJ93ksfML9Xu81w

原理

小程序登录方式

一个APP有时候需要绑定用户手机，获取用户身份等操作，以手机号为例，正常开发Web应用的时候，如果要用户绑定、修改自己手机号，是需要验证手机号是否归属于该用户，通常会使用短信认证的方式。但是在微信中，因为有微信官方的背书，所以获取手机号的时候是不需要短信验证的，通常流程是，弹出一个登陆框，用户可以选择“微信手机号快捷登陆”，确认以后小程序端就能拿到手机号。

三要素：session_key iv exxxxdata

泄露session_key的影响

如果小程序开发人员在数据包中，将session_key泄露给客户端了，攻击者即可伪造密文或签名，来修改用户信息，如手机号。上述小程序获取手机号的最后一步，就是小程序将密文发送给服务端，那么如果攻击者知道session_key，就可以构造任意密文，进而伪造手机号。
{手机号=xxxx} 登录成功了 -任意用户接管

泄露session_key的方式

有的服务端可能将服务端API返回的数据直接返回给客户端了，此时其中可能包含session_key（简单来说就是返回包有session_key）
服务端直接使用session_key作为用户的session id，而不是自己生成一个随机字符串做绑(简单来说就是发送包存在session_key)

获取session_key后的利用

以某互联网医院为例

进入小程序，并抓取此进入过程的相关数据包

此处需要注意的是返回session_key的的接口域名和小程序本身的业务接口域名看起来好像没有啥关联，所以测试的时候最好注意一下抓取到的所有接口的返回，或者直接用HaE这个工具直接匹配标记存在session_key的数据包，避免遗漏

2.点击“立即登录”，选择微信用户一键登录，此时会自动读取微信绑定的手机号，抓取点击允许后的数据包

3.查看微信官方文档，可知上一步抓取到的加密数据使用的加密算法
服务端获取开放数据 | 微信开放文档 (qq.com)

4.解密验证

5.替换任意用户手机号，绕过登录验证

三要素：

• session_key
• iv
• encryptedData

步骤：

①寻找三要素
②解密
③替换
④加密

以上三者泄露，就可以造成任意用户登录的效果（不一定）

注意session_key一定要是唯一的 在测试过程中 多次遇到假的session_key

如何判是唯一的seesion_key

多次放包，看session值是否唯一，若唯一，极有可能是唯一的session_key

session_key
key
a_key

工具

微信群也发了
https://github.com/mrknow001/wx_sessionkey_decrypt/releases/tag/v0.1
https://github.com/mrknow001/wx_sessionkey_decrypt

案例

微信小程序三要素泄露导致登录口任意用户登录
点击登录，发现三要素泄露
一个门 需要两把钥匙开
一把是iv 一把是session_key

解密成功

URL解密 放参数 解密

解密成功后 替换手机号码 加密

URL加密

替换数据包

登录成功，并接管管理员账号
如何信息收集得到管理员手机号码：系统页面存在举报方式，有一个联系方式
抖音 公众号 谷歌语法 （新媒体）

修复方案

1、对敏感数据加密或作脱敏处理
2、定期更新密钥

敏感信息泄露

挖掘敏感信息泄露的诀窍：细致+细致+细致(Hae)

任何存在用户数据交互的都不能放过

哪些是用户数据常见交互的地方呢？

1. 用户注册与登录：允许用户注册账号并以注册的账号进行登录，实现用户与系统的数据交互。

2. 文件上传与下载：用户可以上传文件至系统，同时也可以从系统中下载文件，实现数据的双向交互。

   (文件下载-可遍历参数的文件下载)

   【1.doc 1-改成其它的参数 doc是不是可以改成其它的文件格式 如：pdf、xls】

3. 数据库交互：系统与数据库进行数据的读取、写入、更新和删除等操作，实现系统与数据存储的交互。

   （增删改查）

4. 搜索与查询功能：允许用户通过系统界面进行搜索和查询操作，以获取所需的数据信息。

   （物流管理平台、开发商管理平台，用户查询-a,b）

5. 实时通讯功能：例如聊天室、即时消息等，用户可以通过系统进行实时的交流和数据传输。

   （评论区 、发言、特征识别的参数【手机号码、身份证-不可重复、userid、wxopen_id】）

6. 数据分享与转发：用户可以在系统内部进行数据分享和转发，将数据传递给其他用户或系统模块。

   （ssrf 文件导出）

7. 任何存在敏感信息的都不能放过

   （建议大家养成一个习惯 测完渗透 留一个20分钟去看看历史的数据包）

哪些地方会存在敏感信息

第一个问题：哪些是敏感信息（一般的想法：手机号码、身份证号码、住址信息）

1. 个人身份信息：包括姓名、身份证号码等。
2. 账号与凭证信息：例如用户名、密码（/get/1）、安全问题答案、身份验证信息等。
3. 财务信息：包括银行账号、信用卡号码、支付宝账号等金融相关信息。（比较牵强）
4. 医疗保健信息：涉及健康状况、病历记录、医生诊断等医疗信息。
5. 个人通讯信息：包括电话号码、电子邮箱地址、通讯录等。
6. 商业机密信息：如公司的商业计划、营销策略、客户数据等。
7. 法律文件与合同：包括法律文件、合同协议、诉讼文件等。

比较常见挖掘到的敏感信息：

手机号码、账户、密码、身份证号码、银行的财务信息、内部报告、商业机密、客户资料等

第二个问题，哪些地方会存在敏感信息

1. 用户输入界面：例如登录、注册、表单提交等，存在未加密的传输、缺乏输入验证等问题。(敏感信息未脱敏 1872921011 187xxxxxxx 敏感信息get型传输)
2. 数据库操作：包括对数据库的读取、写入、更新、删除等操作，未经适当的权限控制和加密存储。（增删改查）
3. 文件存储与传输：未加密的文件存储、文件传输过程中的中间人攻击风险等。（下载文件、发送文件，1.pdf）
4. 日志记录：系统日志中可能会记录用户的操作行为，如果未经适当处理，可能导致敏感信息泄露。（accesstoken、user、password、数据包、文件）
5. 第三方集成：与外部系统、服务或API的集成，未对数据传输和存储进行充分的安全控制。（未授权，A系统给B系统）地图api 付费的接口
6. 通讯与消息传递：包括电子邮件、即时消息等通讯方式，未加密的传输可能导致信息泄露。（聊天，与客服聊天获得他人的聊天记录 高危3k）
7. 打印与备份：未经加密的打印、备份数据，存储介质的丢失或被盗等情况。（SSRF）
8. 系统管理员权限：拥有系统管理员权限的人员可能能够访问到系统中的敏感信息。（拥有高权限的系统 能直接访问到敏感信息 911xxxx111）（在工作中 需要对）

比较常见 功能点容易挖掘到敏感信息泄露
评论区、个人信息编辑、登录后的数据包需重点关注(一个一个数据包去放，若遇到可遍历的或者是说不可遍历的，repeater)、订单提交修改参数越权获得敏感信息（地址修改，userid）、点赞、回复评论等存在与其它用户交互的功能点（特征识别的参数【手机号码、身份证-不可重复、userid、wxopen_id】)Hae
多点击 多修改 多看

敏感信息泄露 危害提升

1、信息数量 一定要备注备注 给审核重点说明白
2、敏感信息泄露+越权 组合拳的形式

案例一

1、点击排行榜

2、点击详情的战队信息

3、点进后，发现敏感信息泄露

手机号码等敏感数据泄露

除了手机号码还有哪些是敏感数据或者是需要去注意的

userid

扩大危害，遍历数据包，遍历得到全站战队成员的敏感信息，点击不同的战队

再次扩大危害，若战队排行榜存在敏感信息泄露，那个人榜会不会存在

不同URL可以分开交，一个漏洞多次嫖

案例二

1、点击我的资料

2、查看信息

发现可疑id
我的小程序ID 2793
那么此前已有2792个用户的数据
3、查看数据包

4、遍历id得到其他人的敏感信息

敏感数据：身份证号码、手机号码、姓名、患者信息（病例号）、单位

案例三

敏感信息泄露+越权
1、评论区，用户名获得手机号码（4位数打码）

会存在手机号码泄露，用户名是182xxxx0199 中间4位数打码，但其实这样的是没有打全的
因此下一步是，是找使用手机号码作为参数遍历的数据包（不可遍历-可遍历）
getUserInfo?mobile=

对应敏感信息泄露

泄露敏感信息有限或不全，那么需要采用组合拳的形式

案例四

评论区评论

查看数据包 发现敏感数据泄露

只有wx_open_id肯定不行

如何利用：哪些地方会用到wx_open_id
一些常见的功能点包括用户身份识别、消息推送、用户数据统计等。在这些功能中，wx_openid 通常被用于唯一标识微信用户的身份。
登录口找到数据包 利用 因此获得全站用户的mobile

敏感信息泄露+越权 yyds

答题

题目泄露

开始对战后，抓包，拦截数据包，对战题目已在数据包中

关键

答的题目需要与积分有关系，答题有作用，比如：升级、换礼品等等

从答题的效果去考虑：

如果答题能给你带来效益 积分 换奖品 经验值 升级 排行榜 刷排名

测试过程

漏洞危害 泄露题目 可控制答题分数 获取题库批量刷题 答题可获得积分换取奖励

所有的业务都懂 都熟悉 你需要去和说清楚

订单状态

商品购物无时间限制-中危（24小时无商品订单时间限制）

每个人将商品加入到个人的购物车中
是不是会消耗商品的库存
而商品的库存是有限的

购买的商品没有时间限制 你可以无限囤货导致其他人无法购买
加入购物车 或者下单的时候 正常来说有一个时间限制 比如：最后20分钟付款
加入购物车 你的订单就已经消耗了别人的库存

支付状态

卡支付状态 订单20分钟结束 最后一分钟 生成二维码

19：57
00：05

1、二维码 可卡二维码 不失效问题
2、卡支付状态 开微信支付 输密码时

二维码保存着 一直在支付的界面停留

再去下个单用同样的方式下一样的单

一次的优惠 多次享有

卡支付状态 系统到时间之后 会将你的订单撤回 同时你的相关优惠卷将重新更新

订单状态过期，退了优惠券，订单没失效，还可以支付。

1、这种订单一定是要有优惠的
2、卡时间差

结合在何处能产生危害

状态

新人价 无限刷新人价

但有可能会亏钱

亏钱

你支付了，但是订单也没有

优惠卷状态

卡优惠卷状态（优惠卷占有状态）
使用优惠卷产生订单 但不付款
再次使用此优惠卷产生订单
1、思路一：使用优惠卷支付时，优惠卷并未被占用 正常逻辑下 一旦使用或下订单 优惠卷就会减少
2、思路二：卡状态，支付拿下二维码，但退订单

二维码

二维码的常见用途

• 信息获取（名片、地图、WIFI 密码、资料）
• 网站跳转（跳转到微博、手机网站、网站） 302 ssrf
• 广告推送（用户扫码，直接浏览商家推送的视频、音频广告）
• 手机电商（用户扫码、手机直接购物下单）
• 防伪溯源（用户扫码、即可查看生产地；同时后台可以获取最终消费地)
• 优惠促销（用户扫码，下载电子优惠券，抽奖）
• 会员管理（用户手机上获取电子会员信息、VIP服务）
• 手机支付（扫描商品二维码，通过银行或第三方支付提供的手机端通道完成支付）
• 账号登录（扫描二维码进行各个网站或软件的登录）

接口遍历

https://xxxx.com/api/v1/getUserCard?userId=21234

XSS

https://xxxx.com/api/v1/showContent?form={"h1"%3A"XXX��%A9%E9%A6%86%22%2C%20%22img%22%3A%7B%22src%22%3A%22http%3A%2F%2Ftuyuan.com%2F124maksdak23123.png%22%2C%20%22alt%22%3A%22XXXX%22%7D

用户的输入会渲染到前端，此处可考虑XSS

敏感信息泄露

还有种情况，就是当我们通过二维码进行数据传输的时候，也有可能存在敏感信息泄露的风险
例如说一些 ak、sk、key 之类的密钥通过二维码进行传递...
或者说二维码的敏感内容通过简单的编码（例如 Base64）后再进行传输

拒绝服务攻击【DDOS】

在生成二维码的时候如果可以指定二维码的长宽，那我们就可以尝试让服务端生成一个很大很大的二维码
宽: 200 200000000
长：200

然后看看服务端是否会变得卡顿（注意，该测试一定要在审核知情的情况下做，不然很容易出事的！！）
1、可证明 可无限变大
2、说明 我是点到为止 并未作进一步扩大危害 如需危害

网站跳转

https://xxx.com/api/v1/Jumpto?redirectUrl=http://abc.xxx.com

如果将其改为 https://xxx.com/api/v1/Jumpto?redirectUrl=http://www.baidu.com

二维码登录（白帽子与受害者的交互）

无需点击登录 这个是前提！！！

https://xz.aliyun.com/t/13013

美化二维码地址：https://mh.cli.im/

CSRF绑定微信实现任意登录

出现二维码时候 抓包

手机扫二维码的时候 burp抓到你的数据

上面的包记得丢掉

换一个浏览器和账号进行测试，这里原本是没有绑定

a：获取到本人的信息 形成一个CSRF

b：a给 b csrf链接，让b点击，b点击后发现自己的账号成功绑定a的微信

点击这个csrf测试的按钮

成功绑定、成功登录

盲盒

方法

盲盒是奖励是固定的
盲盒和答题题目泄露雷同

抽奖时拦截数据包，每个数据 包有对应的产品 id 类似于答题的题目泄露
不过一种是泄露的答题的题目 一种是泄露的盲盒id
选中时 替换礼品id 替换成你想要的

内嵌游戏挖掘

挖掘点

嫖洞

越权-和参数、数据包严格相关

一个地方出现越权 基本上网站肯定不止一个越权
登录的时候 看不看数据包
一定要看返回包

{role:"0"} 注册 未激活
{role:"1"} 注册 普通用户
{role:"2"} 注册 管理员

SQL注入

1、不同注入点、参数 不同SQL注入
2、不同URL或路径 不同SQL注入

XSS

不同框 分开交

小程序、h5、web端

如何寻找

1、小程序的URL放在web的页面去访问
2、abafs.abc.com h5.asdas.abc.com
3、子域名收集 最好的方式 放在hunter上去搜索 标题

思路扩展

小数四舍五入

不止是金额 其它都可以四舍五入
就只修改金额
商品数量 带了数字的都去玩一玩

溢出

利用公式：2147483647/物品单价+1=物品数量
金额溢出 int型最大值 2147483647
不是int型的也可以测溢出 修改成很大的值
其它的参数多去研究研究

订单

complet/id 返回包：200
未支付的订单，再放到之前的订单中

订单已支付
订单已支付（查看订单状态）

续费低价产品 在贵一点的订单修改替换订单号（研究参数 替换订单号 发现价格没变 但支付成功 发的商品也是你的贵一点的订单）

低价买高价

A 产品 100000
B 产品 1999（限量的 它不允许你去购买很多）类比于生日当天去购买商品 且不允许修改生日