某处逻辑错误可导致获取和操作全站该类信息 - 火线 Zone-安全攻防社区

某处逻辑错误可导致获取和操作全站该类信息

39707

某处逻辑错误可导致获取和操作全站该类信息

http://www.example.com/public_services/config/coup...

在优惠劵的这个小功能处，存在逻辑漏洞，新建一个优惠劵活动

然后在优惠劵数量这里我们填写一个负数
效果如下

然后提交以后，我们来编辑优惠劵。
这里的数量已经是负数了，但是不能修改了

点管理优惠劵

全站的优惠劵都在这里了。。全部优惠劵信息泄露

共 75758 条优惠券码

测试能不能用呢，随便点第一个 “使用”

已成功使用

要是点个删除呢，结果太美，我不敢想

本文迁移自知识星球“火线Zone”

42732

王老师王老师，能大致说一下漏洞成因吗？