2024簽約漏洞分析_第1頁(yè)
2024簽約漏洞分析_第2頁(yè)
2024簽約漏洞分析_第3頁(yè)
2024簽約漏洞分析_第4頁(yè)
2024簽約漏洞分析_第5頁(yè)
已閱讀5頁(yè),還剩15頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

簽約漏洞分析目錄CONTENTS什么是漏洞?什么是越權(quán)?什么不是漏洞?123目錄CONTENTS什么是簽約漏洞?簽約漏洞的進(jìn)階簽約漏洞的創(chuàng)新456什么是漏洞?簡(jiǎn)單的介紹一下01生活1什么是漏洞?培訓(xùn)5人成團(tuán),享受優(yōu)惠。開(kāi)課前4人退款,一個(gè)人就拿到了優(yōu)惠價(jià)。放在業(yè)務(wù)層面上呢?某個(gè)商品優(yōu)惠但是需要湊單,湊單后進(jìn)行退款。由于業(yè)務(wù)的復(fù)雜性和保證用戶的體驗(yàn),只能通過(guò)上策略來(lái)阻止用戶這樣去做,比如識(shí)別到用戶經(jīng)常去退單拿優(yōu)惠就會(huì)變成黑號(hào)。漏洞并不是說(shuō)你改成了系統(tǒng)不讓你改的點(diǎn)他就是漏洞,這也是很多新人的誤區(qū),而是你修改后他是否能對(duì)業(yè)務(wù)造成影響,滿10-20如果想不到利用方式的話那其實(shí)就是“自己坑自己”生活1什么不是漏洞?比如一個(gè)優(yōu)惠券是滿10-5,后端限制了優(yōu)惠金額只能為1-5,但是你改成了滿10-20,他是漏洞嗎?漏洞并不是說(shuō)你改成了系統(tǒng)不讓你改的點(diǎn)他就是漏洞,這也是很多新人的誤區(qū),而是你修改后他是否能對(duì)業(yè)務(wù)造成影響,滿10-20如果想不到利用方式的話那其實(shí)就是“自己坑自己”什么是越權(quán)?做自己沒(méi)有權(quán)限的事情02越權(quán)2什么是越權(quán)?越過(guò)自己的權(quán)限,做自己權(quán)限外的事情。生活中:生活中我冒充學(xué)生家長(zhǎng)去替學(xué)生開(kāi)家長(zhǎng)會(huì)(身份越權(quán))我把寺廟里面的掃碼付款換成自己的二維碼了(越權(quán)替換收款方式)生的孩子發(fā)現(xiàn)不是自己的(被越權(quán)替代了血統(tǒng))越權(quán)2什么是越權(quán)?越過(guò)自己的權(quán)限,做自己權(quán)限外的事情。網(wǎng)絡(luò)中:越權(quán)替他人支付(你們認(rèn)為這個(gè)是不是大冤種行為?)越權(quán)替他人支付并使用自己的大額優(yōu)惠券呢?有些游戲平臺(tái)不支持提現(xiàn),那么低價(jià)收購(gòu)余額來(lái)越權(quán)替自己充值呢?越權(quán)2什么是越權(quán)?總結(jié)一下上面兩點(diǎn)。冒充家長(zhǎng)(越權(quán)改變自己的身份,由用戶變?yōu)楣芾韱T)寺廟替換付款二維碼(越權(quán)覆蓋其他商家收款)生的孩子不是自己的(被其他用戶越權(quán)創(chuàng)建我的子賬號(hào))什么是簽約漏洞?簡(jiǎn)單的介紹一下03簽約漏洞3簽約漏洞因?yàn)楹芏喾?wù)都叫做簽約續(xù)費(fèi)所以給他起了這個(gè)名字場(chǎng)景:月神視頻首月優(yōu)惠1元/月,次月自動(dòng)續(xù)費(fèi)8元一月。正常開(kāi)通包月10元一月??梢允褂弥Ц秾毢臀⑿呕蜃詭уX(qián)包支付。思考:1.想重復(fù)使用1元1月支付該如何操作?(聽(tīng)過(guò)的同學(xué)不要說(shuō))2.無(wú)限使用8元續(xù)費(fèi)算不算漏洞?3.思路公布前為什么所有的廠商都會(huì)存在這個(gè)漏洞?簽約漏洞3簽約漏洞的過(guò)程過(guò)程:手機(jī)A、B、C三部。A、B、C同時(shí)登陸同一個(gè)賬號(hào),分別發(fā)起微信和支付寶的購(gòu)買請(qǐng)求,停留在請(qǐng)求頁(yè)面。依次支付,然后到賬6個(gè)月(根據(jù)發(fā)起的支付頁(yè)面來(lái)決定到賬數(shù)量)為什么有些漏洞只給了中危?因?yàn)椴焕斫馕:?,不清楚什么是真的簽約漏洞簽約漏洞3簽約漏洞的過(guò)程思考:根據(jù)上面的場(chǎng)景思考一下為什么會(huì)出現(xiàn)這樣的問(wèn)題。(積極的發(fā)表自己的想法,不要覺(jué)得害羞,漏洞的創(chuàng)造就是在無(wú)數(shù)的“不可能”里面創(chuàng)造出來(lái)的)為什么有些漏洞只給了中危?因?yàn)椴焕斫馕:?,不清楚什么是真的簽約漏洞(解答一下為什么)如何進(jìn)階?理解漏洞之后想一想其他的利用方式04簽約漏洞4簽約漏洞的進(jìn)階思考:除了簽約,你還能想到這個(gè)漏洞適用于其他什么場(chǎng)景?(大家踴躍發(fā)言,肯思考才能進(jìn)步,講師給你講的思路終歸只是一個(gè)思路,要靠你自己去理解和創(chuàng)新才能變成自己的新東西)場(chǎng)景:會(huì)員10元/月,高級(jí)會(huì)員20/月(結(jié)合簽約漏洞,這回應(yīng)該怎么做?)游戲首充禮包、直播平臺(tái)充值優(yōu)惠等等簽約漏洞的創(chuàng)新如何舉一反三不斷創(chuàng)新05簽約漏洞5簽約漏洞的未來(lái)思考:如果簽約漏洞可以讓業(yè)務(wù)不扣費(fèi)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論