[渗透实战]比较low的一次支付漏洞

  • 漏洞点:广东工业大学
  • 漏洞状态:已修复
  • 漏洞分类:弱口令与支付漏洞组合拳

  • 弱口令

广州工业大学网络缴费系统
URL地址:https://selfmanager.gdut.edu.cn/
账号/密码:test/123456

弱口令

  • 广工大后勤APP支付漏洞

app下载地址(安卓):不上链接了
登录APP使用上述弱口令:test/123456进行登录
后勤app登入

  • 进入订餐点

订餐点

  • 进行正常的订餐测试

正常订餐
正常订餐

  • 截取分析以及修改数据包更改订餐数

修改数据包

  • 一处订餐量改为负数,导致总金额变为0

购餐金额

  • 确认订单,确认金额为0,从而0元购餐

确认订单


后略

Mucn

Mucn

不管,看了我的博客就得帮忙转载,快点转载一下哦!❤️✔️

留下你的评论

快留下你的小秘密吧