挖个洞先
https://mp.weixin.qq.com/s/b4YhYGwleFZLAY62Dv93_A
“ 以下漏洞均为实验靶场,如有雷同,纯属巧合 ”
01
—
漏洞证明
一、无限领取优惠券
“ 只能领取1张优惠券场景,能不能无限次领取? ”
1、点击领取1张满999元减80元优惠券
2、burp抓包,重放显示“存在未使用优惠券,请先使用!”
3、使用优惠券购买任意商品,只提交订单不付款
4、再次重放第二步领取优惠券数据包,成功领取
5、为了证明优惠券可用,购买多个商品,存在多个优惠券抵扣订单
6、再次领取,再次下单,仍然可以使用优惠券
二、退款到账优惠券
“ 多个使用优惠券的订单,退款会不会到账多张? ”
1、此时只有1张满2999元减260元优惠券
2、利用上面第一个漏洞生成两笔订单,然后取消订单
3、发现到账了2张满2999元减260元优惠券
02
—
漏洞危害
1、无限次领取优惠券,利用漏洞薅羊毛
2、退款到账多张优惠券,利用漏洞薅羊毛
