【逻辑漏洞】支付漏洞四舍五入

支付漏洞四舍五入

在企业 src 里面支付业务肯定是必不可少的，那么有业务肯定就有漏洞，今天就来讲一下

我们用余额充值为例，余额都是保留到分 ( 也就是 0.00) 当然有些区块链的网站可能会更精确

那么如果我们充值 0.001 会怎么样呢，那么开发一般会前端判断我们输入的数字，或者直接把后一位四舍五入了

我们来试试

支付宝直接报错，因为第三方支付是只能充值到分的

那我们就可以尝试一下充值 0.019 看看会发生什么事

我们可以看到显示的是 0.01 后面的 9 直接忽略了，因为第三方支付只能判断到分

我们支付看看

充值了 0.02 ，是不是很惊喜，那么漏洞不就出来了吗？

利用四舍五入的性质就可以实现半价充值了

那么在企业 src 中也是很常见的，主要是利用这个四舍五入的性质来欺骗服务器。

实战案例

0X01:发现过程：

发现了提线这个功能点：

首先提现一元的时候将数据包改为提现1.005看看会是什么情况：