人人商城 充值一分钱漏洞

下面演示 如何充值一分钱免费购买商品

下载Fiddler 抓包软件

确保手机和pc在同一局域网内

5、设置fiddler代理，开启Fiddler的远程连接，Fiddler 主菜单 Tools -> Fiddler Options…-> Connections页签，选中Allowremote computers to connect。效果图如下：

6.  开启好远程连接之后，重启Fiddler，不然就不会更新你刚开启的远程配置

7. 下面开始设置手机端了，获取PC的IP地址，我的IP地址是：192.168.2.121

8.  打开你的手机设置界面：

9.   现在就可以开始抓包了：打开Fiddler软件：

10.   如果你觉得抓取数据还不够方便，你可以添加过滤器：

上面5-10点filter的使用 原文链接：http://www.cnblogs.com/langtianya/p/4191111.html

 

12、fiddler开启断点调试  Fiddler 主菜单 rules -> automatic breakpoints -> before requests

13、点击微信支付，fiddler会把请求拦截下来

将里面的信息进行修改在提交，就可以低价支付购买

 

那么这个漏洞是哪里造成的呢

app/source/mc/cash.ctrl.php，这里进行了日志重新插入，原本比如支付15元，后来经修改重新提交，就会重新插入支付，这很明显是代码问题，谁干的！

我们是比较老的人人商城版本，修改后大致如下，将原来新增的改为修改，这样就不会新插入支付日志了，你在怎么修改进来也没用，是用原来的支付价格来支付