探讨一下src逻辑漏洞挖掘

src漏洞挖掘

漏洞已通知厂商修复

本人web小白 文章技术含量不会很高

注册了两个账号 测试业务


 

发现了支付页面，可以测试能不能修改，其中我发现了几个参数
 

我猜第二个参数是用户id 那我就可以修改用户id达到修改订单的目的 第三个是套餐的id （经过测试）  

实验的方法是在注册一个号 把第二个的id 给第一个号 替换

订单跑到第二个号里了

或试试能不能 sql 注入 或许可以想一想 只要是该用户发送请求就会携带这个id，那我手里的id就可以达到平行越权的行为 去请求自己的主页。

好吧我所期望的并没有发生。

审核编辑：刘清