记一次小程序支付逻辑漏洞测试

记一次小程序支付逻辑漏洞测试

闲来无事，无聊至极，羊了个羊很火，奈何太菜，通宵达旦，未能过关，于是另寻捷径。 bp+proxifier搞一搞，抓到包直接重放。

1663317886992.png

T值应该是自己的token，换成自己的，然后干嘛，然后直接intruder开干啊，截图装逼啊，还等啥。 于是呢 小小的刷了一波

1663318052281.png

各位看个乐呵就行。 完了后转手看到一个别的小程序，里面有个商城，心想：看看有无支付逻辑漏洞试一试。 试试就逝世。 于是忙碌了一天的S师傅开心的打开了某小程序，开心的换了一换那里的纸巾，然后 一不小心 改了他的价格 0.01，给我吓一跳

1663318215105.jpg

wc，我要暴富了啊，还等什么，直接开干啊

1663318349434.png

没想到啊，正当我开心的时候，结算的时候给了我耳光。16.9 我这种穷孩子怎么可能买得起嘛。 所以我一不小心，真的是一不小心的。我寻思0.01总得支付吧，谁曾想，我还没付钱呢。

1663318521405.png

直接给我成功了，吓死个人，md

1663318573294.png

白嫖？我怎么可能是这种人。 吓得我直接退货了。

1663318674808.png

然后和客服沟通了一下下 ，我生怕他给我退钱过来了，咱可是遵纪守法的好公民啊，这周末能行呢。

1663318725870.jpg

1663318772768.jpg

运营小姐姐打电话来和我说感谢，还好不是喝茶。就告一段落了，所以各位铁汁们，注意网络安全法，千万要做一个遵纪守法的好公民啊