【SRC实战】退款导致零元购支付漏洞

挖个洞先
https://mp.weixin.qq.com/s/3k3OCC5mwI5t9ILNt6Q8bw

“ 以下漏洞均为实验靶场，如有雷同，纯属巧合 ”

01

—

漏洞证明

1、购买年卡会员

2、订单处查看已支付

3、申请退款

4、会员仍然有效

5、使用另一个账号重复支付退款操作，会员仍然有效

02

—

漏洞危害

1、财务损失：如果用户在申请退款之后依然能够使用会员服务，这可能导致公司经营收入的严重损失，因为支付的款项被退回，但服务依然在消耗资源而无法获得相应的收益。

2、系统滥用：如果该漏洞被公众所知，可能会有大量用户利用这一点，导致系统被大规模滥用。退款后会员仍有效可能鼓励用户重复实施这一操作，最终导致服务提供者承担巨大的不必要成本。

3、损害品牌信誉：当商家的退款政策和系统监管被轻易绕过时，这会损害企业的信誉。客户可能对该服务的安全性和可靠性产生怀疑，从而影响企业的长期业务和客户关系。

​