说到优惠券大家可能想到的是并发，当然这篇文章不是讲并发的，讲几个关于优惠券领取和使用的问题，涉及的隐私问题打码可能会多一点

#### 0x01：领取优惠券

首先说一下越权领取的问题，某app测试中有领取优惠券处

在点击领取后抓包当然能得到领取优惠券的数据包，且以code标识

在并发后并没有成功，这时我回到个人中心查看优惠券页面，发现有付费的优惠券

点击进去后在数据包中我们能看到couponCode，替换就能领取这个付费优惠券

如果正常用优惠券领取接口进行领取的，可能是领取不到的，我这里重点要说明的是**活动接口**，这个很重要，下次希望师傅们测试获取优惠券领取接口时，能够找到本来不能领取的优惠券，用这个接口进行越权领取测试

在又一次的测试中，发现了一个更有意思的点，通过积分商城内会有兑换优惠券的，我这里虽然拿一张截图作为例子，并不代表是这里

假装这里是优惠券，这里我们点不进去，也看不到优惠券的code（因为会提示积分不足）

这时有的师傅可能会想到了，没错，修改返回包，把510积分直接改成能兑换的积分值，当然我们兑换不了，但是却能进入兑换功能的界面，而这个界面得到了这个优惠券的code

这时候我又拿了一个优惠券领取接口测试，发现同样得到了这个优惠券，而不用花积分去兑换

总之也就是测试普通优惠券领取接口的同时，平常多关注一下各种活动领取的接口，当然不止限制于领取优惠券的接口，而不只是测个并发草草了事

#### 0x02：优惠券的使用

这个可能很多师傅知道了，并发使用与越权使用

给了一直新人券，找个商品订购，然后并发提交订单

成功创建订单，并且进行了一部分支付，也都是成功的

越权使用

很简单，没什么好说的，使用优惠券的时候将A优惠券换成B优惠券

满20才能用，替换id

绕过限制直接使用

当然优惠券还有许多测试方法，这里只是一部分，这里所说的基本都在所属src拿到了高危，所以还是值得去测试的

---

本文迁移自知识星球“火线Zone”