使用 Burp Suite 完成三个支付漏洞靶场实战

首先我们搜索burp suite靶场

然后我们进去注册好账号并找到业务逻辑漏洞，完成1，2，4这三个靶场

首先第一个靶场，我们用他给的账号密码登陆进去以后，进入需要购买的商品详情页面，并打开代理插件和burp suite进行拦截，看是否有漏洞可以进行更改以助于我们可以完成靶场

这时候我们可以看到抓到的POST包中的最下方的price可以更改为100

这时候再进行放行，这时候打开购物车我们就可以看到我们需要购买的东西的价格就变成了1，这样我们就完成了第一个靶场
然后打开第二个靶场后，和第一个靶场操作一样，但是抓包以后我们可以看到没有price了，但是有一个quantity可以更改，但是由于我们需要购买的是衣服，所以我们不能把衣服的数量改为负数（注：我们把东西数量改为负数以后这个商品的总价也相应的变成了负数，这样我们就能把我们需要购买的商品价格和它中和从而达到购买的目的）


最后打开最后一个靶场，操作和之前一样，虽然和上一个靶场一样，但是我们改成负数后，商品是不能添加，所以这说明前两个靶场的方法不能用了。这时候我们可以看到最上方有优惠券可以用，然后页面底端还有一个优惠券，这时我们就可以考虑优惠券交替使用达成购买的目的（注：如果接连输入同一个优惠券则会提示这个优惠券已经使用）


至此我们三个靶场就已经完全完成了