佳品网作废任意订单 - 网站安全 - 自学php

佳品网作废任意订单，找到订单规律后用burp可以多线程跑，一个账号作废其他订单没有使用次数限制

注册登陆，网站不是一般的卡

下单

取消订单，截断http请求

看到了又userid和md5，但并没有关联

修改post数据的订单号为其他订单号

提交，当前页面订单未作废，查看修改订单的那个订单状态

果然作废了修改post的那个订单

修复方案：随便关联一个参数就可以，userid就可以了，毕竟这个不是每个人都能看到别人的了，或者关联当前cookies或session

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://haodehen.cn/did13303

更新时间：2022-09-13 阅读：40次