挖个洞先
“ 以下漏洞均为实验靶场,如有雷同,纯属巧合 ”
01
—
漏洞证明
1、新人礼包,年卡98元,赠送6个月,相当于一年半
2、点击立享优惠
3、重放请求包100次,每次返回订单号不一样
4、购买后,年卡价格变为118元,且不赠送6个月时长
5、点击立享优惠,替换118元年卡返回包为第三步98元返回包数据,微信扫码支付此时显示98元
6、到账了3年会员,(12+6)x2=36月=3年
7、查看微信花费98x2=196元,购买了118x3=354元的会员,半价购买
02
—
漏洞危害
1、经济损失:漏洞的利用可能导致直接的经济损失,例如未授权的服务获取或金钱盗窃。在本例中,如果用户能够以低于正常价格获取会员服务,公司将遭受收入损失。
2、服务信任和声誉受损:当漏洞被公开后,用户对服务的信任度可能降低。这种信任度的损失可能远远超过直接的经济损失,因为一旦服务声誉受损,恢复用户信心需要更长时间和更多资源。
3、法律和合规风险:依据涉及地域的法律,公司可能因为信息安全漏洞而面临法律诉讼或罚款,尤其是如果漏洞违反了数据保护法律或行业特定的合规要求。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
