本文主要是介绍【SRC实战】遍历手机号给全站用户发放优惠券,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
挖个洞先
https://mp.weixin.qq.com/s/m8ULZ52p1q_mKrCRnaI_7A
“ 以下漏洞均为实验靶场,如有雷同,纯属巧合 ”
01
—
漏洞证明
一、遍历手机号
“ 没有验证码二次校验的漏洞如何扩大危害?”
1、输入手机号码,领取优惠券场景
2、先输入手机号A,发现没有验证码等二次校验,页面显示领取成功
3、回到APP查看优惠券已到账
4、再输入手机号B,手机号C,都没有验证码二次校验,直接领取并且成功到账,均为满1元可用优惠券
二、并发领取优惠券
“ 签到领取1张优惠券场景,如何领取多张优惠券?”
1、签到领取优惠券场景
2、签到1天可领取1张2元无门槛优惠券
3、并发领取优惠券数据包,到账多张优惠券
4、经测试,签到处所有天数均存在并发领取多张优惠券漏洞
02
—
漏洞危害
1、遍历手机号给全站用户发放21元无门槛优惠券
2、并发领取多张优惠券
这篇关于【SRC实战】遍历手机号给全站用户发放优惠券的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
![C#实战|大乐透选号器[6]:实现实时显示已选择的红蓝球数量](https://i-blog.csdnimg.cn/direct/cda2638386c64e8d80479ab11fcb14a9.png)
