【相关分享】两次小程序逻辑案例

免责声明

❝

由于传播、利用本公众号”隼目安全”所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号”隼目安全”及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉谢谢！

该漏洞已经向相关单位与平台进行报告，本文中图片、内容等均已脱敏！！！

闲来无事还是挖洞逻辑，这篇就浅码罢，逻辑漏洞在小程序这块很多比较偏的资产都存在支付逻辑，一般分为两种情况，一种是在创建订单时有一个金额值，另一种就是在支付时有这么一个值了，这期来俩例子罢

首先第一个案例是某医院护理上门的小程序

首先进入小程序可以看见有很多项目（这里我们已经完成了相关的注册等流程）

这里做演示就随便选择一项并预约

这里这个小程序做了地区限制，所以我们需要填写这个单位附近的地址，这里我们打开burp然后提交订单

这里拦截包有一个

"totalFee": "24.00"

我们将数值改成0.00后放包，到订单页查看一下

可以看见成功了，这种到院付没什么危害，但是思路可以用，提交订单时抓就行

我们来看第二个案例，某旅游公司的

这里随便选一个项目预定

这里我们确定好项目之后直接下一步

好了，这里可以看见是生成订单的位置了，我们开启burp

通过搜索数值，我们可以大胆猜测这就是他的金额值，直接改成1

直接大功告成

这种就是创建订单的时候去改了，没啥好说的

没东西写了，师傅们快来投稿

由于QQ群还有微信群添加都太麻烦了，所以建了个QQ频道，刚建没啥东西，师傅们可以进来分享点资源之类的，百度网盘几个群暂时也满了，师傅们也可以在频道发点投稿文章，谢谢

 

往期推荐

某知名公众号博主公然开盒

 

【相关分享】酷酷免杀之AI免杀

 

【相关分享】DeepSeek本地化部署有风险！快来看看你中招了吗？

 

（刘农tv）红岸基地逆天卖课哥再次复出圈钱，习题笑传之查筹币

 

【相关分享】记两份逻辑漏洞(重码)

 

 

文稿 | x8i

制作 | x8i

审发 | 隼目安全