大学生网上学习利用网络支付漏洞 一分钱变千元
谁能分析一下是怎么做到的吗? 谢谢!http://cclme.cn/forum.php?mod=viewthread&tid=19316&extra=page%3D1%26filter%3Dauthor%26orderby%3Ddateline&page=1
就和原来有个游戏的充值漏洞一样的,封包过滤之类的方法改变事实扣除的钱,但是服务器收到了钱没验证,只知道收到钱了,就把该给的东西给你了。就这样,这种东西你别去搞,搞完就忍不住,最后肯定要进去蹲,最近新闻不是有个用淘宝充值优酷还是什么的会员然后钱不够会显示充值失败然后反过来退钱给你,然后那孩子就用自己的店反复的充值一次就能获得几千块,然后刷了3000多万。现在正在审理了 干巴爹 发表于 2017-5-23 18:18
就和原来有个游戏的充值漏洞一样的,封包过滤之类的方法改变事实扣除的钱,但是服务器收到了钱没验证,只知 ...
封包截取只能截取平台到本地的数据封包啊 平台到微信的通讯截取是怎么获得的啊?
A是本地 B是平台 C 是微信
A如何获取 B和C之间的数据啊? xujiaoooq 发表于 2017-5-23 19:06
封包截取只能截取平台到本地的数据封包啊 平台到微信的通讯截取是怎么获得的啊?
{:3_63:}你想多了,平台到微信之间的数据是你看不到也不需要看到的,平台在这块就没做一个验证才会出这种漏洞,就是你付款成功然后微信就发了条信息,有漏洞的平台他没在这验证微信给的信息所以才有这漏洞。如果有验证那么什么一分钱充最大额度的那些漏洞就不成立了,剩下就俩种结果,一种是充值失败不扣钱,一种是充值还是失败而且你还少了1分钱 xujiaoooq 发表于 2017-5-23 19:06
封包截取只能截取平台到本地的数据封包啊 平台到微信的通讯截取是怎么获得的啊?
这个多实践就可以
很多平台 官方 私服充值都有类似的bug
你闲钱多可以自己挨个实验
总能找到的
原理
最低充值额度如10元
用软件过滤成1毛 1分
选网银 支付宝 微信付款跳转页面后 显示的是1毛 1分并且支付成功就可以了
接下来看你获得了多少
如1元=100元宝1毛就是10元宝 1分就是1元宝
这个付款完自动充值到账户内就可以看到的
如得到10或1 那就是没bug
如果得到的是100 并且你验证你的网银 支付宝 微信确定扣了你修改的金额消耗那就证明这个网站有充值bug
你上述帖子内的网站 原理就是这个 顶多是软件不同罢了
页:
[1]