文章总结： 文章演示通过GET/api/checkout获取商品折扣字段percentage后，在POST同接口额外添加该参数并设100，实现购物车商品0元购，验证API批量赋值可导致价格篡改，建议严控入参白名单与后端折扣计算逻辑。 综合评分： 76 文章分类： WEB安全,漏洞分析,渗透测试

【接口漏洞第五章第二节】API批量赋值漏洞实战：以电商折扣参数篡改为例

原创

升斗安全XiuXiu

升斗安全

2026年1月13日 20:23 广东

【文章说明】

• 目的：本文内容仅为网络安全技术研究与教育目的而创作。
• 红线：严禁将本文知识用于任何未授权的非法活动。使用者必须遵守《网络安全法》等相关法律。
• 责任：任何对本文技术的滥用所引发的后果自负，与本公众号及作者无关。
• 免责：内容仅供参考，作者不对其准确性、完整性作任何担保。

阅读即代表您同意以上条款。

我们在上一节【接口漏洞第五章第一节】当API“过度热心”：批量赋值漏洞的狩猎笔记中，有聊到api接口的隐藏参数和自动赋值参数的内容，但如何在实际场景中进行挖掘和利用？今天我们就结合实际实验场景来给大家做下演示，让我们利用这个漏洞原理来实现商品自动打折，并实现“0元购”

首先，在进入系统后，同样的，我们还是先用自己的账号先进行登录，并访问系统中的各大功能，如添加商品到购物车、查询商品等操作：

然后，还是要仔细地去查看以上操作过后的一些接口请求接口内容，看看是否存在api接口路径，如果有，就要特别留意，并发送到repeater中备用了。

如上图，发现了两个一样的api接口 /api/checkout ，只是请求方式不一样，这很可疑，值得我们深入挖掘。先查看get方法请求该接口是什么内容：【比较明显的是该get请求方法只是用来查询该商品的名字、价格还有折扣信息的】

我们继续，接下来看POST请求方式下，该接口又做了哪些事情：【从请求参数上来看，就是将商品ID的还有要添加到购物车的商品数量，发起提交到服务器请求】

重要的点来了，因为我们看到前面 GET 请求该接口的响应内容中，是有返回商品折扣参数及值的内容的：

这样的话，结合上一节的“自动赋值”理论内容，我们就可以大胆猜测在这个POST 请求方式中，是不是可以直接将这个隐藏的自动补全折扣（percentage）参数放入请求参数中，并将提交商品的折扣设置为100，发现能够正常提交数据到服务器中，具体如下：

提交后，我们再到系统的购物车中查看我们添加的商品，就发现刚添加的商品折扣为100%，直接实现了0元购。

关于api接口自动补全参数的挖掘和利用的实际操作，今天就先给大家演示到这里。关于api接口漏洞，远不止这一块哦，更多内容，这边会持续输出。感兴趣的话，别忘了点个关注~

如果以上内容对你有用或无用，欢迎点赞或留言建议，这边会不断改进的哈。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：升斗安全 升斗安全XiuXiu《【接口漏洞第五章第二节】API批量赋值漏洞实战：以电商折扣参数篡改为例》