前言

我的某个朋友叫我帮他做个APP 就是把一个网页做成APP就行,然后我就百度封装APP…

正文

注册用户 登录 以下图是我封装好的APP(可以免费试用一天)

关于充值测试 vip测试 均未发现任何漏洞 就只剩一个续费

打开Burp 点击续费抓包

目前可知

discount_id 为续费时长的id 一个月id为50

pay_channel 为续费的支付方式为alipay

device 暂不清楚是什么

goods_id 猜测为单号或者商品id

之前抓包测试免费体验1天的 discount_id 为48,那么我们猜想续费1个月抓包把 discount_id 改为48测试一下能否重复体验续费

显示续费成功 我们看一下实际是否成功

的确到期时间增加了一天 订单里面也查询到订单完成

结尾

利用burp 重复发包可以直接2099年…

此次挖掘没多大看点 最重要的就是思路 漏洞已提交给网站技术 over