漏洞挖掘365天挑战——Day037:漏洞报告学习之A business logic error bug worth 600$

链接:https://itsdeepceh.medium.com/a-business-logic-error-bug-worth-600-a0050720bfee

这是一个hackerone的私人邀请项目。

有个功能: 邀请一个朋友,如果朋友注册和激活付费之后,邀请者可以得到30美元的礼物。

逻辑就是,有一个邀请的网址,朋友点击进去注册并付费15美元每月,才算一个。但是网站有个退款的业务。新注册的用户去退款,那就把付费全部退回了。

但是邀请成功的奖励却没有退回,确实是个逻辑bug。

好像国内前几年也有这么搞的,用来刷积分的案例也挺多的。

漏洞挖掘365天挑战——Day037:漏洞报告学习之A business logic error bug worth 600$”的一个响应

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s