真实业务逻辑漏洞案例分享「真实业务逻辑漏洞案例分享」
1、在某宝网上开设一个某宝店,上架一些商品,如:进口水果(比如:200元)。2、事先联系好买家来自已店购买,买家购买后,发空包货给买家。3、卖家在给买家发货时,某宝默认给卖家购买了一份破损险。4、买家收到货后,再以商品损坏名义申请退款。5、当卖家同意退款后,某宝公司会在7个工作日因坏单的原因对卖家进行理赔,赔付的价值相当于买家购买水果时花费的费用(如:200元)。6、这样卖家就凭空赚了理赔回来的200元水果费用,自已也就损失一个快递费而已。7、由于平台缺乏破损风控管理,在短时间内有人利用某宝网的保险理赔商业行为。骗取某宝网近获利20万元。
0x02 某宝保证金保险逻辑漏洞1、某宝店是有保证金计划的,所有的店铺都可以参加淘宝保证金计划。2、有一个只需18元就可以购买一家淘宝店1000元保证金保险。然后就有人发布1000元的商品。3、再利用小号购买,收到东西后说东西是坏的,就可以骗取这个1000元的保证金。
0x03 某商城库存处理逻辑漏洞1、随便选择一个商品,比如,发现一个商品库存为100件,然后加入购物车。2、那就直接购买100件,进行支付页面,但先又不支付。3、返回到商品页面,会发现商品库存已经为0了,其他人无法购买。4、这样的结果就是 容易导致恶拍后不付款,同行恶意竞争,导致商品被下架,在一些活动日,比如秒杀、节日、等等。 影响是比较大的,平台需要有这样的风险检测。
0x04 骗取某宝运费险漏洞1、运费险是根据赔付金额按5%收取,比如保费0.5元、0.6元,对应的保额是10元、12元。2、比如在广州某个淘宝店购买 1 件商品,花0.5元购买运费险,如果我退货的话保险司会承担10 元运费。3、而我收到货后使用某低价快递退货,从深圳发货到广州运费只要 5 元 (部分快递甚至能做到4 元)。4、这一笔赚到的差价总共是:保险公司赔付的 10 元-0.5 元-5 元快递费 一单净赚4.5元。还有一种方式:使用的收件人、电话、地址等所有资料全是假的,下单后,不收货、不退货。因为所有资料都是假的,所以卖家发货后根本没人签收,快递公司自然会返回发件方。当得知快递已经返回收件方后,再开始申请七天无理由退货,保险公司赔付的 10 元。
0x05 京东/淘宝/苏宁 利用双叠加,0撸商品0元下单电脑主机
1、就是利用双叠加,“券”叠加“满减”,就是优惠券可以与满减活动同时进行存在。2、举例:有一张“券”是满199减 100的,同时这个商品还有“满减”199-100 或者前“1000名”半价等活动。3、双叠加后,就变成了199-200,应付-1元(实付0元),于是0撸成功。同时 “99元选5件”“2件5折”等等,这一类促销活动,与“满减”同理~。
问题出现点:在活动日、节假日 比较多出现这种Bug, 多数由于商家不了解平台的规则,自已设置不当而造成。再就是平台无风控的提示。
0x06 绕过注册时的“接受协议” 漏洞1、在注册账号时,会有一项注册时,必需接受协议才可以成功注册协议。2、那如果在注册中,抓包修改那个接受协议的字段,为 空或0时,还能注册成功吗?如果能成功,账号且正常使用,那么后续就存在一定的法律方面的风险。
0x07 商城活动、疏忽 造成的风险1、许多商城“秒杀”活动结束后的几分钟内, 如果店铺商品主图还配有活动时促销价,就可以利用商城的规则,以 “价格欺诈”,使卖家赔钱!2、由于店铺美工疏忽,售卖的专利产品未标明专利种类和专利号,“虚假宣传”,也可以使卖家赔钱!
0x08 超时未发货商品赔付漏洞1、在某宝找一件12小时内发货的商品,或者8小时内发货的商品(这样的商品很好找)。2、比如找的是8小时内发货的,就可以在晚上23点左右下单付款,到第二天早上7点,直接向小二申请超时未发货,要求赔付。3、某宝审核后,会赔付买家以10%的商品价格现金赔付,因为这是某宝的规则。4、因为在这个时间段内大多数卖家还在睡觉。。。平台并没有风控提示。
0x09 同一个账号体系内的不同App,出现的业务逻辑漏洞准备工作:短信接码平台银行卡下载招商银行App与招商银行掌上生活App
操作步骤:1、新用户使用自已手机号注册招商银行App,并绑定好银行卡即完成实名。2、实名成功后会得到新用户奖励,使用相同的账号登录招商银行掌上生活App,使用优惠券购买商品,里面有个10元外卖券,10元话费券,电影券,等等,直接在里面下单使用优惠券购买就行,比如订12元的外卖只需要支付2元即可。3、退出招商银行掌上生活App,再去招商银行App解绑银行卡,解绑后,再使用接码平台,替换当前手机号为接码平台的虚拟手机号,退出App,等待三分钟。4、好了,现在自已手机号又是未注册的状态了,再现在重复步骤1、2。又能使用当前手机号领取优惠券了。每次领取的成本是0.1元,可换来外卖券、话费券、电影券、购物券。可重复实名重复领取。
所以只要思路广,就不怕找不到漏洞
文章评论