前言:
这是一篇关于月神SRC逻辑漏洞课程的学习笔记,因为我现在没有小钱钱所以买的是某宝的19期盗版课,如果后续赚钱了肯定是要支持一手正版的,但是现在嘛,先学吧,当然b站也有相关课程只不过需要包月充电
最近折腾了一下桌面,稍微整理了一下,然后换了一个矮一点的增高架,之前买的那个太高了,看的我脖子不舒服,结果收到货才发现买错颜色了,原本是打算买白色的,结果买成原木色了。不过这个增高架退货不包运费的,所以就没退,毕竟现在的运费,平台不补贴很难,总共才七八块钱买的增高架,退回去花个七八块的运费,真是疯了才会那么干,相当于白花了七八块钱,我再买一个不好吗,不过现在不打算再买了,先将就着用,等后续换成主机+显示器的时候要顺便换个宽一点的桌子,到时候再重新买一个增高架得了
当然,最近两天可不只是折腾这些,还花99买了一个白色的七彩虹音响。然后又给博客服务器换成4h4g的了,毕竟之前那个服务器还有一周就要到期了,而我还有一张一折优惠卷还有一天到期,平台又刚好还有七块钱左右的余额,4h4g一个月一折是6,9,就买了,然后搬迁个人博客花了一段时间,然后月神找我剪视频,我又花了6,7个小时,效果还不错,开头做了两版,最后选的是第一版,感兴趣可以看看这个视频:
然后就是个人主页的背景新添加了几个,然后就是改造后的桌搭,后续还打算添加海景房主机(rgb风扇)+rgb灯带+显示器+悬浮双臂支架,先给大家看看现在的效果吧(文件大小限制,画质可能有点糊,可以直接看最后几秒):
第九期视频是讲京东安全小课堂125期,感兴趣的可以去看看,这里就直接就跳过写第十期了
盲盒和抽奖:
有一些业务虽然写着是盲盒但实际上还是抽奖,所以还是要注意分辨的。那为什么要这么做,因为抽奖的逻辑非常简单,而盲盒的逻辑复杂一些,所以把抽奖包装成盲盒既能起到大家对盲盒玩法的好奇,又能节省很多成本
什么是抽奖:
用户抽奖后客户端会发送一个简单的请求,然后服务器在本地生成一个结果返回给客户端,客户端将结果展示给用户
可以看到,就如上图,整个流程非常简单,结果是服务器根据算法生成的,奖品等数据也是保存在服务器的。像这种越是简单的逻辑,出现漏洞的可能就越少
什么是盲盒:
用户想要抽取盲盒,当用户打开这个页面的时候,客户端会请求,然后服务器生成多个盲盒id和结果,再将这些盲盒的id传给客户端,客户端再通过用户点击判断需要查看的盲盒是那个,然后请求服务器,服务器返回这个盲盒的结果。这个盲盒的结果是用户在请求开启某个盲盒前就已经生成好了,而抽奖是在用户请求后服务端再去生成结果并返回结果。所以如果是抽奖,结果的好坏就全凭服务器的算法(除非真随机),我们很难去改变结果,但是盲盒就不一样了,因为提前就将结果生成好了,所以给了我们更多的操作机会
真随机和伪随机:
真随机的概念:
真随机(True Random)是指完全不可预测、完全无规律且完全符合随机性定义的随机数生成方式。它基于自然界的物理现象或不可预测的物理过程来产生随机性,而不是通过数学算法或确定性逻辑
伪随机的概念:
伪随机(Pseudo-Random)是指通过确定性算法生成的看似随机的数列。尽管伪随机数在外观上与真随机数相似,但实际上它们是由数学公式或算法产生的,具有可预测性和周期性。伪随机数生成器(Pseudo-Random Number Generator,PRNG)在许多需要随机性的应用中广泛使用,尤其是在对随机性要求不是绝对严格的场景中
看法:
很多抽奖其实都是伪随机,虽然真随机会在一定意义上面出现欧皇的情况,但是同样会出现非酋的情况,而且如果运气真的非常不好,那可能要一直非酋下去。为了保护这些运气不是特别好的人,厂商都会选择伪随机,这样就算运气差也可以设置保底,那还是能中奖的。另一方面伪随机方便,也能节省不必要的成本
盲盒有什么漏洞:
盲盒业务是一个冷门的业务,既然冷门,那他的漏洞也会相对来说多一些,而且盲盒这个特殊的玩法上面也会出现漏洞——透视,退款
找到各个接口查看是否有泄露盲盒内容的接口
盲盒不支持退款,是否可以用其他方式进行退款操作
盲盒透视:
加载页面泄露:
在加载盲盒页面的时候,加载页面的返回值暴露了商品id或者商品内容也有可能暴露活动相关的id,如果这些id是固定的,那我们就可以通过id提前判断出盲盒里面是什么,实现盲盒透视
订单泄露:
在订单创建,但是还未点击去支付,跳转第三方页面的时候,同样可能会存在泄露商品的内容,因为这个页面同样会加载盲盒相关的内容,如果出现商品id和其他,那就同样能实现盲盒透视
创建订单后,订单详情的返回值处是否泄露了商品相关内容
查询功能泄露:
很多盲盒都会有一个查询功能,比如购买一个盲盒后,会将盲盒存放到仓库。然后用户手动点击查看盲盒内容,这个时候客户端会向服务器请求查询这个盲盒的结果,如果是通过订单号来查询盲盒里面的内容,那我首先买一个盲盒(正常支付),然后再去买另一个盲盒但是不支付,这个时候订单是创建了的,然后我们将这个订单号复制,再到查询接口替换订单号,如果返回了还未下单的那个盲盒里面的内容,是不是也实现了透视,这样如果我查询到没中我想要的,我是不是只需要取消订单即可,然后反复创建订单去查询直到中我想要的那个盲盒
筛选提示泄露:
很多盲盒有一个筛选功能,用户点击盲盒会显示我不是xxx,一个用户可以筛选限定的次数,如果不停更换账号,那么就存在多次筛选泄露盲盒内容的可能。但是当用户刷新页面或者退出后重新返回该页面就找不到原先那个盲盒了,因为服务器会重新返回一批盲盒,如果这个时候我们能够使筛选的盲盒是同一个盲盒,那么只要经过多次筛选,就能够判断出盲盒里面的内容,那怎么使多次筛选的盲盒是同一批呢,在页面加载时抓包就能得到盲盒id了,通过这个id我们就能筛选同一批盲盒了
条件竞争:
也就是并发漏洞,那么盲盒有那些并发呢?
并发回收:
有一些厂商会做盲盒回收的业务,比如你这个盲盒50元买的,中的不是自己想要的东西,可以通过官方回收功能按照盲盒价格的百分之多少进行回收,回收金额会到账余额,这样只需要再补一点钱就可以再抽一次。那么我们如果去并发这个回收功能,成功了是不是就会多次返还金额
发货和回收的组合:
发货页面如果是实物,基本上会要求支付运费,我们点击支付跳转到支付页面后,手动发包回收的数据包,然后回收成功了再去支付,如果后端没有校验,那么不仅会回收成功,还会发货
重复支付:
通过支付时生成的多个订单号的返回值来重复支付
发货多id:
发货时通常会有盲盒id,例如[“1001″,”1002”]可以改成[“1001″,”1001″,”1001”],这样有可能同时发三件1001的商品,同时盲盒可能会存在满足n件可以免运费,用此方法也可以绕过运费支付环节
一番赏:
什么是一番赏:
和盲盒类似,规则不同而已,一番赏就是一种抽卡,只不过结果也是固定的,然后每次抽卡时你能够看到这一组卡里面有多少张好卡,多少张垃圾卡,无论如何,只要是买到最后一张卡就能获得最终赏,这个最终赏就跟好卡差不多。所以会有一些人利用工具去计算,在还剩几张的时候购买剩下的所有能够赚
存在的漏洞:
修改抽奖次数,实现最大值溢出,这样就会导致可能只花了溢出的一点钱就买下了所有卡
全包,前面也说过,可以一次性购买剩下所有的卡(方便一些人拿到最终赏),那如果最终赏是靠类型来判断而不是通过用户支付的金额来判断,那用户是不是可以抓包修改类型实现只支付一张卡的钱就全包了剩下的卡
