【SRC实战】遍历手机号给全站用户发放优惠券

本文主要是介绍【SRC实战】遍历手机号给全站用户发放优惠券，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

挖个洞先
https://mp.weixin.qq.com/s/m8ULZ52p1q_mKrCRnaI_7A

“ 以下漏洞均为实验靶场，如有雷同，纯属巧合 ”

01

—

漏洞证明

一、遍历手机号

“ 没有验证码二次校验的漏洞如何扩大危害？”

1、输入手机号码，领取优惠券场景

2、先输入手机号A，发现没有验证码等二次校验，页面显示领取成功

3、回到APP查看优惠券已到账

4、再输入手机号B，手机号C，都没有验证码二次校验，直接领取并且成功到账，均为满1元可用优惠券

二、并发领取优惠券

“ 签到领取1张优惠券场景，如何领取多张优惠券？”

1、签到领取优惠券场景

2、签到1天可领取1张2元无门槛优惠券

3、并发领取优惠券数据包，到账多张优惠券

4、经测试，签到处所有天数均存在并发领取多张优惠券漏洞

02

—

漏洞危害

1、遍历手机号给全站用户发放21元无门槛优惠券

2、并发领取多张优惠券

这篇关于【SRC实战】遍历手机号给全站用户发放优惠券的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---