未经许可,不得转载。
文章目录
- 正文
- 逻辑漏洞1
- 逻辑漏洞2
- 逻辑漏洞3
- 逻辑漏洞4
- 其它
正文
该目标程序是一家提供浏览器服务的公司,其核心功能是网页抓取和多账户登录操作,类似于浏览器中的隐身模式,但更加强大和高效。通过该平台,用户可以轻松管理并同时运行数百个隐身浏览器实例,而不需要复杂的配置。
值得注意的是,该应用仅提供付费订阅计划。个人用户的订阅费用约为 80 美元,而团队计划(支持最多 3 个用户)的费用为 170 美元。随着团队成员的增加,价格也随之上涨,每增加一位用户需额外支付 32 美元。此外,若用户未订阅基础计划,将无法访问 90% 的核心功能。
经过深入分析,我发现了 4 个关键的业务逻辑漏洞,这些漏洞直接影响了公司的财务体系,并可能造成严重的经济损失。
逻辑漏洞1
正如我之前提到的,团队计划中最多只能邀请 3 名成员,每名成员的费用为 32 美元。
正常的流程是:
1、输入成员的详细信息并单击发送邀请。
2、被邀请的成