挖个洞先
“ 以下漏洞均为实验靶场,如有雷同,纯属巧合 ”
二手购物平台业务分析:
1、二手商品价格波动大,根据商品成色,市场价格,卖家心情而定
2、无法搜索商品,商品搜索功能经测试,新发布超过三天仍无法搜索,爬虫增加难度
3、职业捡漏党,也就是垃圾客,存在漏洞利用需求
01
—
漏洞证明
1、发布iPhone二手商品,通过关键词无法搜索到我的商品,存在同步延迟,三天后再次搜索仍然搜不到我的商品
2、点击任意商品
3、收藏
4、发现商品id参数commodityId递增加一
5、经测试,commodityId=37XXXXXX即为最大值,也就是最新发布的商品,绕过了【无法搜索商品】限制
6、此处通过查看收藏接口,返回所有商品信息,包括价格,成色,商品介绍,利用爬虫自动化收藏最新发布商品+匹配关键字检测低价商品自动下单实现秒杀捡漏
02
—
漏洞危害
“ 其他爬虫无法获取最新发布商品,利用漏洞能够绕过反爬虫 ”
1、数据安全和隐私问题:通过商品ID的可预测性,恶意用户可能会利用爬虫脚本来访问并收集商品信息,包括可能未公开的或敏感的商品详情,从而侵犯用户隐私。这种行为可能违反各国的数据保护法律,如欧洲的通用数据保护条例(GDPR)。
2、系统资源滥用:恶意爬虫的使用可能会导致服务器负载加重,影响系统性能和用户体验。爬虫在执行大量自动化查询时会消耗大量带宽和服务器资源,可能导致正常用户访问变慢甚至服务暂时不可用。
3、公平交易原则被破坏:如果用户通过爬虫秒杀低价商品,这将破坏市场的公平交易环境。其他买家将很难通过正常途径发现和购买这些优惠商品,导致市场竞争失衡。长期来看,这种情况可能会降低用户对平台的信任度,影响平台的商誉。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
