挖个洞先
https://mp.weixin.qq.com/s/3k3OCC5mwI5t9ILNt6Q8bw
“ 以下漏洞均为实验靶场,如有雷同,纯属巧合 ”
01
—
漏洞证明
1、购买年卡会员
2、订单处查看已支付
3、申请退款
4、会员仍然有效
5、使用另一个账号重复支付退款操作,会员仍然有效
02
—
漏洞危害
1、财务损失:如果用户在申请退款之后依然能够使用会员服务,这可能导致公司经营收入的严重损失,因为支付的款项被退回,但服务依然在消耗资源而无法获得相应的收益。
2、系统滥用:如果该漏洞被公众所知,可能会有大量用户利用这一点,导致系统被大规模滥用。退款后会员仍有效可能鼓励用户重复实施这一操作,最终导致服务提供者承担巨大的不必要成本。
3、损害品牌信誉:当商家的退款政策和系统监管被轻易绕过时,这会损害企业的信誉。客户可能对该服务的安全性和可靠性产生怀疑,从而影响企业的长期业务和客户关系。
