挖个洞先
https://mp.weixin.qq.com/s/NQKJQF81XpG8815EfgvgKw
“ 以下漏洞均为实验靶场,如有雷同,纯属巧合 ”
01
—
漏洞证明
“ 充值赠送金额能否修改? ”
1、充值30元赠送1.9元礼包,充值100元赠送7元礼包,充值500元赠送57.5元礼包
2、点击更多充值档位,可以看到系统最低充值金额为30元
3、选择100元套餐,burp抓包,修改amt充值金额为1,zsAmt赠送金额为
700000
请求包:
"payType":"WXPAY",
"amt":1,
"zsAmt":700000,
4、请求包中充值金额与现金比为100:1,发现页面显示为“充值0.01赠金7000元”
5、微信支付,充值成功
6、充值金额可申请发票
02
—
漏洞危害
1、支付漏洞触发风控,赠送金额实际上无法到账,但由于是核心系统核心业务,所以还是给了低危
2、充值任意金额突破最小充值金额限制,给财务系统造成混乱,影响企业财务管理