逻辑漏洞---订单金额任意修改

时间  2021-01-05 标签 Find Hole 逻辑漏洞 商品价格修改

什么是逻辑漏洞

在这里插入图片描述
逻辑漏洞目前最好方法是人工检测

订单处逻辑分析

在这里插入图片描述
此处疑问就是价格如何获取
获取方式是啥?????

订单逻辑漏洞

在这里插入图片描述

这段代码个人理解就是前面php类似于监听提交按钮
一旦提交之后,就可以读取价格和购买数目
然后运算是多少钱
很明显你可以看出,一件商品价格是100元
在这里插入图片描述
这个要和Burp配合使用
价格修改是在hidden中,用户看不到
你可以通过Burp抓包,然后修改

如果价格在数据库存储
你可以修改购买数量
如果是购买数量是-1
会不会商家给你返回100呢?
属实6666666666666666666666666666666666

逻辑漏洞防御

在这里插入图片描述 第一个多重验证比如查看购买数量是否为负,价格是否修改等等

联系我们 沪ICP备13005482号-10