【相关分享】两次小程序逻辑案例

【相关分享】两次小程序逻辑案例

免责声明

由于传播、利用本公众号”隼目安全”所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号”隼目安全”及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉谢谢!

该漏洞已经向相关单位与平台进行报告,本文中图片、内容等均已脱敏!!!

闲来无事还是挖洞逻辑,这篇就浅码罢,逻辑漏洞在小程序这块很多比较偏的资产都存在支付逻辑,一般分为两种情况,一种是在创建订单时有一个金额值,另一种就是在支付时有这么一个值了,这期来俩例子罢

图片[1]-【相关分享】两次小程序逻辑案例-隼目安全

首先第一个案例是某医院护理上门的小程序

首先进入小程序可以看见有很多项目(这里我们已经完成了相关的注册等流程)

图片[2]-【相关分享】两次小程序逻辑案例-隼目安全

这里做演示就随便选择一项并预约

图片[3]-【相关分享】两次小程序逻辑案例-隼目安全

这里这个小程序做了地区限制,所以我们需要填写这个单位附近的地址,这里我们打开burp然后提交订单

图片[4]-【相关分享】两次小程序逻辑案例-隼目安全

这里拦截包有一个

"totalFee""24.00"

我们将数值改成0.00后放包,到订单页查看一下

图片[5]-【相关分享】两次小程序逻辑案例-隼目安全

可以看见成功了,这种到院付没什么危害,但是思路可以用,提交订单时抓就行

我们来看第二个案例,某旅游公司的

这里随便选一个项目预定

图片[6]-【相关分享】两次小程序逻辑案例-隼目安全
图片[7]-【相关分享】两次小程序逻辑案例-隼目安全

这里我们确定好项目之后直接下一步

图片[8]-【相关分享】两次小程序逻辑案例-隼目安全

好了,这里可以看见是生成订单的位置了,我们开启burp

图片[9]-【相关分享】两次小程序逻辑案例-隼目安全

通过搜索数值,我们可以大胆猜测这就是他的金额值,直接改成1

图片[10]-【相关分享】两次小程序逻辑案例-隼目安全

直接大功告成

图片[11]-【相关分享】两次小程序逻辑案例-隼目安全

这种就是创建订单的时候去改了,没啥好说的

图片[12]-【相关分享】两次小程序逻辑案例-隼目安全

没东西写了,师傅们快来投稿

由于QQ群还有微信群添加都太麻烦了,所以建了个QQ频道,刚建没啥东西,师傅们可以进来分享点资源之类的,百度网盘几个群暂时也满了,师傅们也可以在频道发点投稿文章,谢谢

图片[13]-【相关分享】两次小程序逻辑案例-隼目安全

图片[14]-【相关分享】两次小程序逻辑案例-隼目安全
图片[15]-【相关分享】两次小程序逻辑案例-隼目安全

 

往期推荐

某知名公众号博主公然开盒

 

【相关分享】酷酷免杀之AI免杀

 

【相关分享】DeepSeek本地化部署有风险!快来看看你中招了吗?

 

(刘农tv)红岸基地逆天卖课哥再次复出圈钱,习题笑传之查筹币

 

【相关分享】记两份逻辑漏洞(重码)

 

 

文稿 | x8i
制作 | x8i
审发 | 隼目安全

 

 

© 版权声明
THE END
喜欢就支持一下吧
点赞6赞赏 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片快捷回复

    暂无评论内容