众所周知,薅羊毛漏洞容易对企业造成很大的损害,例如通过企业的业务会员进行变现、售卖礼品套现、无限制提现金额等等,今天给师傅们分享一个有趣的无限套现的漏洞。可直接提现到银行卡。
正文
在一个阳光明媚的中午,打开手机看到xxxapp给我发了一个活动【领现金啦】,为了解决这个月的生活费,只能.......。
- 打开活动,可以看到活动关键词,抢票,当你抢到火车票的时候,就可以参与此活动,通过分享到某社交app,经过人工审核->返现10元+40元无门槛券
2.那么问题就来了,我们都知道在12306抢票是在你出发前1-4天,才有可能出现抢票(还不一定能抢到),一般情况下都是有票的一个情况。再者我们抢出发前1-4天票的情况下,并通过人工审核请,,完成该漏洞。退票的手续费就已经比你获得的返现多了,有的甚至要70多的手续费。很显然你这是让厂商薅你羊毛。
但是在这个src的app上面有一个业务逻辑设计的很不合理,直接上图,在其余座位有票的情况下,它依然可以进行抢票,并且后台逻辑:
用户抢票 -> 硬座是否有票 -->有 - >出票硬座
用户抢票 -> 硬座是否有票 -->无 - >继续执行抢票
3.那么抢票的问题解决了就好说了,为了不产生手续费,我们购票前选择较远日期进行购买,这样在你审核完之后,再去退票,就不会产生手续费。这样就可以产生最大的危害。
4.然后分享到某社交app,把文章了解提交到审核窗口,进行人工审核。审核通过以后就可以领取到10元到自己的余额。活动规定每人每天只会出现一次弹窗,由于交了被忽略了,为了再次证明危害,我再同一天买了三张票,发现同样可以抢票成功,并且可参加活动,那么就是说一天可以无限次参加该活动。
5.我当时比较调皮,就像试试是否是真的人工审核。分享了一次,三个车票的审核链接用的同一个分享,第二天全部通过,猜想为假,人工可能真的不看,那么危害就更大了,xxxapp并能没有得到任何宣传,用户使用一个分享链即可。提现。为证明危害,并且给审核做出说明,执行了套现操作。
6.全程没有抓包的情况下,实现薅羊毛,操作还挺简单。
漏洞已修复
漏洞已修复
漏洞已修复
