微博某业务40000多元的产品瞬间变1元支付(支付漏洞)
目标站点:http://ketang.weibo.com/
登陆之后我们来到首页选一门课程比如
就选第二个吧。。
点击进去之后选择立即购买,看看价格 46900元 啊,好贵啊,能便宜点吗。。
到这个页面了
点击在线支付之后
会出现一个确认支付如图
就在这里我们开始抓包吧
看看抓到的内容
发现其实最后一项内容就是价格,我们改成1看看会怎么样
之后提交
哈哈看到了吗,40000多元的课程变成了一元钱,超值啊
剩下我们只需要用支付宝支付一下即可,由于身边没有支付宝,就不演示了。。
修复方案:
严格检查表单