社区 › 安全 › 实战SRC支付购买挖掘案例

裴竹悦 发表于 2025-12-24 02:05:03

实战SRC支付购买挖掘案例

实战SRC支付购买挖掘案例

越权让他人支付：

https://forum.butian.net/share/1125
四舍五入半价购：

这个漏洞上次看小伙伴交的补天，获得了厂商1.2k的奖金，如何操作呢，我们来分析分析。我们以充值为例，余额值一般保存到分为止，那么如果我充值0.001元也就是1厘，一般开发会在前端判断我们的数字，或者将最后一位四舍五入，使用支付宝或者微信充值是直接报错的，因为第三方一般只支持到分(0.01)。
那我们如果充值0.019呢，由于支付宝或微信只判断到分，所以导致只能支付0.01，而由于我们支付成功，前端会将9四舍五入，直接变成0.02，所以等于直接半价充值。(这个漏洞京东也是有的，不过后来修复了。)


并发提前全签到


采用时间验证，直接改设备时间，
没有验证，直接修改数据包对应发包
循环利用优惠券


前提是2、关闭订单后还能重新支付
支付签约多逻辑

大家都知道有些软件推出了新用户的会员签约功能，新的用户首次签约付费时能以低价购买会员，这个时候就尝试想白嫖多个月的低价会员了。
于是开始第一次测试——使用支付宝打开签约界面，然后使用微信也同时打签约界面，然后再依次支付，支付后系统提示，无法重复签约。
我想难到系统有检测？舍不得孩子套不到狼，于是申请个新号再次进行测试：
还是同时支付宝和微信都打开了签约界面，但这次先签约其中一个比如先签约微信；
微信支付成功并签约完成后，在微信取消自动续费，然后再去支付宝点击签约；
这个时候奇迹就发生了，系统成功到账了2个月的低价会员！
也就是说服务器虽然校验了同一新用户不能同时多次低价签约，但是对于新用户同时发起的多个支付签约页面的请求，服务器没有校验解约后再次签约的情况，导致成功白嫖！以上的一个业务逻辑流程大致如下图：


其他：
https://mp.weixin.qq.com/s/uKL9E3H1PKLnN1Of3m4EgA
https://mp.weixin.qq.com/s/RigIT0U72oq6gpBjEaHqLg
https://mp.weixin.qq.com/s/VKFpGSQPIlOV2iunhObc-g
https://mp.weixin.qq.com/s/Lof30nJ31axpoQmVCsMWgw
https://mp.weixin.qq.com/s/Is_TLS0V8fltrLvzJXwfuA

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

顶豌 发表于 2026-1-2 12:30:29

感谢分享，学习下。

煞赶峙 发表于 2026-1-16 20:25:14

这个好，看起来很实用

奚娅琼 发表于 2026-1-17 14:46:10

热心回复！

钦娅芬 发表于 2026-1-18 00:08:15

这个有用。

晁红叶 发表于 2026-1-18 13:43:46

感谢分享

骆贵 发表于 2026-1-18 15:22:41

yyds。多谢分享

颖顿庐 发表于 2026-1-18 21:00:02

喜欢鼓捣这些软件，现在用得少，谢谢分享！

滑清怡 发表于 2026-1-19 08:03:06

分享、互助 让互联网精神温暖你我

馏栩梓 发表于 2026-1-20 14:20:18

感谢，下载保存了

闵雇 发表于 2026-1-21 05:04:16

喜欢鼓捣这些软件，现在用得少，谢谢分享！

擒揭 发表于 2026-1-22 00:25:00

新版吗？好像是停更了吧。

艺轫 发表于 2026-1-29 06:25:49

懂技术并乐意极积无私分享的人越来越少。珍惜

艾曼语 发表于 2026-1-29 11:20:28

不错，里面软件多更新就更好了

简千叶 发表于 2026-2-4 00:58:09

感谢分享，学习下。

骆熙华 发表于 2026-2-4 06:51:58

谢谢楼主提供！

鞭氅 发表于 2026-2-4 07:11:06

感谢分享，学习下。

村亢 发表于 2026-2-7 08:34:04

东西不错很实用谢谢分享

秦晓曼 发表于 2026-2-8 05:27:36

懂技术并乐意极积无私分享的人越来越少。珍惜

喳谍 发表于 2026-2-8 07:49:26

用心讨论，共获提升！

查看完整版本: 实战SRC支付购买挖掘案例