介绍

逻辑漏洞是指应用程序、系统或者服务中存在的错误逻辑，它可以被用过全控制、获取未授权的访问权限、窃取敏感信息等行为。在优惠券可遍历领取的情况下，攻击者可以通过枚举优惠券编号或者使用一些自动化工具，实现大量、快速地领取优惠而造成商家巨大的经济损失

测试步骤

打开该小程序：

该小程序是一个购物平台，首页有一处领券中心，

在购物页面可以查看到可以领取一个员工生日券

点击领取直接点击抓包，再放包，可以看到操作成功

那么遍历couponId也就是可以领取不同的券，将数据包发送到Intruder模块设置参数

通过返回用户页面，可以看到通过发包领取到了300+优惠券


确实显示了各种各样的优惠券

总结

利用领取优惠券的接口，批量领取网站的所有优惠券。针对这种漏洞，网站可以加入一些防护措施，例如在领取优惠券时，采用其他的验证方法，例如IP地址、验证码等，从而避免利用遍历方式领取优惠券。