这个实验与其说是学习支付漏洞,不如说是学习burpsuite,为了演示支付漏洞修改价格的场景,实验构建了一个虚拟商城系统,通过burpsuite的代理能力,直接拦截请求,修改价格,成功实现0元购。
ailx10
网络安全优秀回答者
网络安全硕士
去咨询
前提:准备好docker环境,下载好书籍配套实验环境,进入目录 ,开始复现漏洞
docker-compose build //可选docker-compose up -d完成试验后,记得删除漏洞环境哦~~
docker-compose downdocker system prune -a -f //可选简单访问一下,说明支付漏洞环境搭建成功了
正常用户购买需要花费995元
只需要掏出burpsuite,开启代理,拦截,修改,黑客就可以实现0元购买,不仅实现0元购,还让商家倒贴5块钱
购买成功,购买记录已经插入数据库了,这羊毛就薅秃了皮了
mysql -u root -puse zhifu;show tables;select * from dd;
