说到优惠券大家可能想到的是并发,当然这篇文章不是讲并发的,讲几个关于优惠券领取和使用的问题,涉及的隐私问题打码可能会多一点
#### 0x01:领取优惠券
首先说一下越权领取的问题,某app测试中有领取优惠券处
在点击领取后抓包当然能得到领取优惠券的数据包,且以code标识
在并发后并没有成功,这时我回到个人中心查看优惠券页面,发现有付费的优惠券
点击进去后在数据包中我们能看到couponCode,替换就能领取这个付费优惠券
如果正常用优惠券领取接口进行领取的,可能是领取不到的,我这里重点要说明的是**活动接口**,这个很重要,下次希望师傅们测试获取优惠券领取接口时,能够找到本来不能领取的优惠券,用这个接口进行越权领取测试
在又一次的测试中,发现了一个更有意思的点,通过积分商城内会有兑换优惠券的,我这里虽然拿一张截图作为例子,并不代表是这里
假装这里是优惠券,这里我们点不进去,也看不到优惠券的code(因为会提示积分不足)
这时有的师傅可能会想到了,没错,修改返回包,把510积分直接改成能兑换的积分值,当然我们兑换不了,但是却能进入兑换功能的界面,而这个界面得到了这个优惠券的code
这时候我又拿了一个优惠券领取接口测试,发现同样得到了这个优惠券,而不用花积分去兑换
总之也就是测试普通优惠券领取接口的同时,平常多关注一下各种活动领取的接口,当然不止限制于领取优惠券的接口,而不只是测个并发草草了事
#### 0x02:优惠券的使用
这个可能很多师傅知道了,并发使用与越权使用
给了一直新人券,找个商品订购,然后并发提交订单
成功创建订单,并且进行了一部分支付,也都是成功的
越权使用
很简单,没什么好说的,使用优惠券的时候将A优惠券换成B优惠券
满20才能用,替换id
绕过限制直接使用
当然优惠券还有许多测试方法,这里只是一部分,这里所说的基本都在所属src拿到了高危,所以还是值得去测试的
本文迁移自知识星球“火线Zone”
