速看!某贷款app的一个简单支付漏洞

Posted 李志宽

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了速看!某贷款app的一个简单支付漏洞相关的知识,希望对你有一定的参考价值。

01.漏洞描述

这个在刚入行的时候发现的,非常简单的漏洞,影响非常严重。

首先要登录这个app用签到和其他手段获取>500的X币

如图,当时我攒了大概一个多星期,960X币

某贷款app的一个简单支付漏洞

 

02.展示过程 500X币可以兑换1块钱,结果是这样的

某贷款app的一个简单支付漏洞

 

选择兑换1元,burp抓包

某贷款app的一个简单支付漏洞

 

alipay就是支付宝账号,degreeid就是金额,把1改成6,发包

某贷款app的一个简单支付漏洞

 

秒到账,无人工审核,而且后续测试发现,接口处写的日限5次无效,兑换大于我X币值的金额它扣不掉我的积分,就是说无条件无限兑换,每次请求也没有token之类的,可以批量,也就是我可以一天赚1000万。

03.结尾

这漏洞实在没啥好说的,是个会抓包的就能发现这漏洞,0技术含量。所以这里想说些其他的,算是挖洞经验吧。

就从这个漏洞说起,该app是国内较早的一批,非常知名的贷款软件,目前也还是风生水起的。假如你没有用网贷产品,你可能不会去注意这个东西,那自然是不会来测这个东西了。

这里就总结出第一条经验:善于观察自己常用的产品,因为常用,那它大部分功能点你应该会相对熟悉一些,测试也会高效一些,也可能使用这些产品的时候就已经发现一些bug,只需要进一步证明或利用就行了。比如我常用某音乐直播软件刷火箭,然后发现也有个类似的支付漏洞。

其次,很多功能点要去测的话需要满足一些前置条件,就像月神挖游戏漏洞需要先打怪升级开启新功能(羡慕想学)一样,这个支付漏洞也需要你先实名认证,上传证件照,好像还有人脸验证,还有就是我上面说的,先坚持签到一周多来获得500+X币,不然这个功能点是没办法去测的,渗透测试中类似的例子很多。

这里总结出第二条经验:挖洞需耐心,不能嫌麻烦,必须一步一步进行去达到测试目的,才有可能发现你想发现的漏洞。可能 有的时候 会想:这个点我留到最后去测,留着留着要么就是最后也没去测,要么就是洞没了,先一步被耐心的人捡走了。不过最多的情况是白挖,根本无漏洞。但实战中,因为耐心和细心,我确实捡了不少漏,不乏严重高危。若我们没有大佬的技术,那就只能靠耐心、细心。细心方面就不说了,比如看js,大家都懂得。

然后上一段中我有说过一句“洞先一步被耐心的人捡走了”,虽然这种情况很正常,但是希望大家不要有“这种功能点,这么简单明显的漏洞类型肯定早就被测过了吧”这种想法,如果有了这种想法,你对这个功能点的关注度会下意识地减少,可能简单测一下它有没有常规漏洞就pass过去了,没有认真去测,这样就可能造成错过漏洞。这种情况我自己就有过数次,悔之晚矣。

对此你是怎么看的呢?欢迎在评论区下方讨论

推荐阅读:硬核!顶级黑客整理出300条渗透常用命令的速查手册(文末福利)

以上是关于速看!某贷款app的一个简单支付漏洞的主要内容,如果未能解决你的问题,请参考以下文章

瞒不住了!经常用手机支付的速看!!!

重要提醒!手机里有支付宝的速看!

超详细,新手都能看懂 !大牛带你使用SpringBoot+Dubbo 搭建一个简单的分布式服务,还附带坦克大战项目,速看!

一个简单的java贷款程序

求excel的教程,既简单好学又好用的。本人会简单操作,但是有些东西忘了

使用 while 循环比较贷款支付和每月利息 - 逻辑错误