WooYun.org

大大在审核的时候千万不要说是跟之前那个重复，肯定是不一样的。而且之前那个已经修补了
这次是另外一种
嘛
也还是对加入购物车的数量校验不严格
通过各种手段加入了负的数量的物品

看看吧，通过拼凑，价格和总数量是正的。我们继续下单

这个地方看到，什么都跟我们预想的一样
之前的那个任意购物漏洞是那个配送费用10可以自己定义成负的，这次测试时已经修复了这个漏洞
我们直接提交订单，应该就成功了吧

尼玛哦，还是服务端校验了啊。妈蛋。我们换个姿势。

在这个地方提交订单的时候抓包看看

cookie中有产品数量，我们修改下。现在是4+-1=3，我们改成5试试看吧，反正是测试。
块接近成功了。接下来每步都把num修改下。
妈蛋，到最后还是提示产品数量最小为1
蛋疼啊。。看样子没救了。
长长的分割线
--------------------------------------------------------------------
不想多说了，这里一直尝试突破这个东西，搞了很久，现在是凌晨1点多了，终于发现问题所在了，成功突破购物
问题是这样的，看上面的截图
数量是-1和4
现在，关键的来了
我们各种方法，把两件物品的位置调换下
即是4和-1

然后直接提交订单，什么都不用修改，直接提交成功了

查看订单，可以看到数量为-1的物品已经被清0了。
所以说综上所述，服务器只是验证第一个物品的数量？第二个就忽略了？如果第二个为负的就重置为0？
唉，虽然到这里大家就看到是两个物品位置调换了下，但是我测试却不能马上想到这一点啊，很辛苦的测试很久才找到这个漏洞所在。
厂商还不给个pad意思意思下哈。/可爱