文章总结： 本文详细分析了某老年大学就餐系统小程序的多个逻辑漏洞，包括通过身份证号遍历无限刷取优惠券、积分签到并发批量获取、地址ID参数越权获取他人信息、以及支付过程中替换商品ID以低价购买高价值商品的漏洞。作者提供了具体的测试步骤与漏洞复现方法，并强调所有测试需获得授权且仅用于安全研究。 综合评分： 82 文章分类： 漏洞分析,渗透测试,WEB安全,实战经验,安全工具

关于小程序逻辑漏洞挖掘测试

原创

zkaq-nnsae86 zkaq-nnsae86

掌控安全EDU

2026年5月19日 14:06 江西

在小说阅读器读本章

去阅读

扫码领资料

获网安教程

本文由掌控安全学院 – nnsae86 投稿

来Track安全社区投稿~

千元稿费！还有保底奖励~（  https://bbs.zkaq.cn  ）****

声明

本文章所分享内容均已脱敏处理且修复，仅用于网络安全相关的技术讨论和学习，注意，切勿用于违法途径，所有渗透测试都需要获取授权，违者后果自行承担，与本文章及作者无关，请谨记守法。

前言

某个老年大学就餐系统小程序，存在多处逻辑漏洞，但是这个小程序不仅存在就餐系统，还存在其他功能点，比如购买商品，一些服务项目，比如针灸按摩啥的，反正小程序功能越多，漏洞也就越多，而且小程序大部分都是可以直接注册登录的，所以测试起来相对容易一点。

优惠卷刷取

访问某小程序，登录个人中心存在一个认证功能点

这里进入后百度上任意搜索一个身份证姓名提交申请测试一下

发现提交成功会赠送一张优惠卷，而且是无门槛的40元优惠卷

如下图，再次发送同样请求包发现提示已认证，说明身份证只可以使用一次

这里身份证号随便更换一个数字，发现响应包数据有变化

再次回到优惠卷界面，发现又刷取一张，因此可以批量遍历身份证号从而无限刷取优惠卷。

积分并发

还是个人中心处，积分功能点

这里直接点击签到抓包

使用插件并发，如下图，成功并发，批量刷取积分

地址越权

地址功能点，存在id校验

通过更换其他用户的地址id值无法进行越权处理，说明此处是不存在越权的

这里直接购买一件商品下单

下单，提交订单处

点击立即下单，抓包，发现此处存在地址id值参数，这里直接更改为其他用户的地址id值

查询订单信息，发现直接越权替换别人的id值并回显出来，说明这里可以越权获取他人的地址信息

支付漏洞

某个小程序，需要登录，但是可以注册用户

这里是存在支付漏洞，每个商品信息有两个控制的，其中gooid代表商品id，”value”:”xxx”代表商品价格，其在校验的过程中是只对value进行校验（这里是猜测的，因为数据包参数比较多，所以我在初次更改value值的时候发现价格并没有更改成功）。在加入购物车的时候替换id，不替换value，就可以以低价商品的value购买高价格商品

首先记录高价值商品id：xxxxxxx6946

这里可以发现4块钱是单次的费用

在低价值商品4元单次送餐页面加入购物车，加入的时候替换gooid为高价值商品id值xxxxxxx6946

这里直接以四块钱单次的费用下单包月的商品价值，从而造成支付漏洞

如下图，通过手机扫码可以直接支付

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

没看够~？欢迎关注！

分享本文到朋友圈，可以凭截图找老师领取

上千教程+工具+交流群+靶场账号哦

分享后扫码加我！

回顾往期内容

我与红队：一场网络安全实战的较量与成长

网络安全人员必考的几本证书！

文库｜内网神器cs4.0使用说明书

重生HW之感谢客服小姐姐带我进入内网遨游

手把手教你CNVD漏洞挖掘 + 资产收集

【精选】SRC快速入门+上分小秘籍+实战指南

代理池工具撰写 | 只有无尽的跳转，没有封禁的IP！

点赞+在看支持一下吧~感谢看官老爷~

你的点赞是我更新的动力

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：掌控安全EDU zkaq-nnsae86 zkaq-nnsae86《关于小程序逻辑漏洞挖掘测试》