2026-05-29 04:04:32 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文分享了SRC实战中发现的小程序业务逻辑漏洞案例。作者通过测试购物小程序的地址校验功能，发现前端提示不支持发货的地区后端未严格校验，通过将省份编码改为浮点格式成功绕过限制并完成下单。关键发现是系统存在弱类型比较漏洞，可操作建议包括不要轻信前端提示、重点测试参数类型和格式边界值。该漏洞最终被评定为高危级别。 综合评分： 82 文章分类： WEB安全,SRC活动,实战经验,漏洞分析,应用安全

cover_image

【src实战】| 业务逻辑漏洞

迪哥讲事

2026年5月19日 11:00 四川

在小说阅读器读本章

去阅读

以下文章来源于隐雾安全，作者隐雾安全

隐雾安全 .

隐雾，为您提供职业成功的关键。

📝 编者语

有些漏洞的发现过程，其实并不复杂。

可能只是一次正常的业务操作，或者一个“不服气”的小测试，最后慢慢把问题带了出来。

这篇文章分享的是一个比较有意思的小程序逻辑漏洞案例，漏洞本身不算复杂，但思路很适合刚开始接触业务逻辑漏洞的师傅参考。

“舔狗的自述”

事情是这样的。

最近在挖某家新开的 SRC，小程序刚上线没多久，我寻思：

“新资产 + 新业务，一般都比较有节目效果。”

于是打开小程序开始随缘乱逛。

一、第一眼：非常普通的购物小程序

整个小程序长这样：

说实话，第一眼看过去：

很普通。普通到甚至有点困。

就是标准的：

商品
下单
收货地址
支付

这种电商模板。

二、一开始其实没什么思路

我最开始测了一圈：

登录
优惠券
商品接口
支付流程

都没太大收获。

直到我点到了：

👉 收货地址。

三、一个让我有点不服气的提示

我随手填了个比较偏远的地址。

结果系统提示：

当前地区暂不支持发货

正常用户看到这里，可能就退出了。

但挖洞人脑子里的第一反应是：

“真的假的？”

四、业务逻辑里，最怕“前端判断”

很多业务系统都会做这种：

if(地区不支持)

{

不允许下单

}

但问题在于：

有些系统只在前端判断。后端根本没认真校验。

于是经典流程来了：

“开BP，抓包。”

五、开始看修改地址的数据包

我在“修改地址”的地方抓了个包。

数据结构其实挺典型：

provinceCode

cityCode

countyCode

townCode

villageCode

也就是：

省
市
区县
乡镇
村

对应的五级行政编码。

六、这个时候，开始进入“胡思乱想”阶段

说实话。

一开始我也没什么特别高级的思路。

只是脑子里有个问题：

“它到底是怎么判断这个地区能不能发货的？”

七、我现在很喜欢测一种东西：数据类型

很多系统：

校验了值
但没校验类型

比如：

650000

它可能只判断：

是否等于 650000

但没考虑：

650000.0

八、于是我做了一个很朴素的测试

直接把：

“provinceCode”:”650000″

改成：

“provinceCode”:”650000.0″

然后重新发包。

九、结果突然就不一样了

原本：

不支持发货

现在：

直接通过了。

我当时第一反应其实是：

“啊？这也行？”

十、接下来继续验证

既然地址修改成功了。

那下一步自然就是：

下单测试。

结果：

订单成功创建。

十一、这个漏洞本质是什么？

简单来说：

地址校验逻辑存在缺陷。

系统原本应该：

严格校验行政区编码
判断是否属于禁发区域

但实际上：

它只校验了“部分格式”。

十二、为什么 650000.0 能绕过去？

这个场景其实很典型。

有些后端会出现：

字符串 → 数字转换

或者：

弱类型比较

导致：

650000 == 650000.0

成立。

但：

业务判断流程已经被绕过了。

弱口令
简单爆破

但都没什么结果。

小总结

以前我总觉得：

“业务逻辑漏洞，应该很复杂。”

后来发现很多时候其实不是。

反而很多问题都来自：

类型校验
边界值
参数格式

我当时其实觉得：

这最多是个低危。

毕竟：

没有 getshell
没有拖库
没有特别夸张的利用链

结果交上去之后：

通过了，而且还是高危。

那一刻属于是：

“鼠鼠突然理解业务漏洞为什么值钱了。”

如果总结一下，其实就几个点：

🔹 不要太相信前端提示

不支持发货

≠

后端真的禁止

🔹 参数不只测“值”

还要测：

类型
格式
空值
小数
科学计数法

🔹 业务漏洞很多时候不复杂

它更像：

“你有没有多试一下。”

如果你是一个长期主义者，欢迎加入我的知识星球，本星球日日更新,包含号主大量一线实战,全网独一无二，微信识别二维码付费即可加入，如不满意，72 小时内可在 App 内无条件自助退款

往期回顾

如何利用ai辅助挖漏洞

如何在移动端抓包-下

如何绕过签名校验

一款bp神器

挖掘有回显ssrf的隐藏payload

ssrf绕过新思路

一个辅助测试ssrf的工具

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：迪哥讲事《【src实战】| 业务逻辑漏洞》