逻辑漏洞--签约漏洞简明整理

前言

欢迎来到我的博客

个人主页:北岭敲键盘的荒漠猫-优快云博客

本文简要的记录一下签约漏洞的原理

漏洞简介

签约漏洞属于逻辑漏洞，是src挖掘中可能出现的漏洞。

现在的逻辑漏洞通常都是出现在并发过程中，签约漏洞也不例外。

漏洞原理

在现在的支付系统中，连续包月的支付形式逐渐多见。

这种支付模式就是首月减免，之后就会正常收费，只不过我们会自动开启续费。

签约漏洞就是利用并发订单，实现无限优惠购买。

漏洞利用具体操作

我们现在的支付二维码有两种，可以用支付宝支付，也可以用微信支付。

那么我们利用签约漏洞的方法就是我们先用微信扫码，创建好订单，但是我们不支付。

这时，我们再用支付宝扫一遍，这样我们就有了两个支付订单，如此一来我们就能够实现用优惠价格购买两次服务。

那么我们该如何无限创建订单呢？

我们可以通过换手机来实现再创建订单。

我们利用其他手机登录支付账户，这样我们原来手机的账户会被挤下线，但是并不影响订单。

所以我们就可以利用切换手机无限套娃实现签约漏洞攻击。