挖个洞先
https://mp.weixin.qq.com/s/HgMK4S8275VvFVbnSp6Qsw

“ 以下漏洞均为实验靶场，如有雷同，纯属巧合 ”

01

—

漏洞证明

“ 获取优惠码有次数限制的情况下，如何绕过？”

1、新用户专属福利，免费领100元优惠码

2、输入手机号，获取验证码

3、burp抓包，点击免费领取优惠码，多次重放数据包，注意此处activityId默认值为248

4、优惠码以短信的形式发送，查看短信获取30+优惠码，每个优惠码都不一样

5、一段时间后，再次领取，提示“该账户已领取过，请勿重复领取”

6、修改第三步activityId为任意数字，此处修改为200，即可绕过限制

7、提示“验证码发送中”

8、查看短信又可以收到优惠码，重复以上步骤即可无限次获取优惠码

9、经测试，该系统还有另一个优惠码接口，也存在相同的漏洞

02

—

漏洞危害

1、无限次领取优惠码，利用漏洞薅羊毛