一次簡單的支付漏洞挖掘，錢包充值0元購

背景：

我在測試私人程序時發現了這個有趣的漏洞。我可以用我想要的余額充值我的錢包，然后使用積分在平臺上購買商品。

我將在這里使用 XYZ 作為公司名稱。XYZ 允許用戶通過借記卡和 Paypal 為錢包充值。用戶還可以選擇將余額提取到他的銀行帳戶或paypal。如需提取資金，請按如下方式提出郵寄請求，其中包含要提取的金額以及我們要提取的 PayPal 電子郵件。

如果通過請求發送負的金額，則該金額將添加到我們的電子錢包中并可以在平臺上花費。

1.發送帶有 -ve 提款金額的帖子請求

2.請求的金額被添加到提現隊列并標記為凍結

3.同樣的金額也被添加到取款中，因為要凍結它，它應該被添加到取款中。因此我們可以使用余額。

應該進行檢查以不允許提取金額，以了解網站上應用的邏輯。開發人員應用了相同的修復程序。

該團隊解決了該漏洞并授予了漏洞賞金。

授予的漏洞賞金：$1000