记一次逻辑漏洞之免费购物

为了祖国的未来，快来关注我们吧

逻辑漏洞

逻辑漏洞挖掘一直是安全测试中“经久不衰”的话题。相比SQL注入、XSS漏洞等传统安全漏洞，现在的攻击者更倾向于利用业务逻辑层的应用安全问题，这类问题往往危害巨大，可能造成了企业的资产损失和名誉受损，并且传统的安全防御设备和措施收效甚微。

很多中小型的购物网站都存在这个漏洞。在提交订单的时候抓取数据包或者直接修改前端代码，然后对订单的金额任意修改。

操作步骤：

打开万能的burp，点击立即购买

成功拦截到数据，第一个为数量，第二个为金额，第一个我改为4，第二个我改成0，forward提交

额，修改的并不是数量，也不知道是什么东西，总之金额是修改了

点击提交订单，成功购物

这样，我们就利用逻辑漏洞成功实现免费购物