网络攻击与防御：业务逻辑、购买支付、数量调整、价格篡改、订单积分策略、优惠券滥用、会员签约及四舍五入处理

在网络安全领域，我们经常遇到各种复杂的业务逻辑漏洞。今天，我们将深入探讨一些典型的Web攻防问题，包括购买支付过程中的数量篡改、价格篡改、订单积分对冲，以及优惠券的复用和盗用等。此外，我们还将关注新会员签约流程中的潜在漏洞，以及四舍五入法在其中的应用。

首先，让我们来看一下购买支付环节中常见的漏洞。例如，通过修改数量和价格来实施对冲，或者利用优惠券复用和积分对冲溢出的方式来牟利。还有一个案例是，通过挖掘SRC支付购买分享，这也是一种常见的攻击手段。

在测试过程中，我们发现一些用户尝试通过修改数据包来领取优惠券，甚至试图将兑换积分数进行篡改，以获取不正当利益。例如，在充值操作中，由于支付宝或微信只支持到分，因此如果将充值金额四舍五入，可能会导致实际支付金额与预期不符。

针对这类漏洞，我们可以采取以下措施：一是采用设备时间验证来防止修改当前设备时间；二是关闭订单后不允许重新支付，以避免再次操作。

新会员签约功能中，一些用户试图通过同时使用支付宝和微信进行签约，来尝试获取多个月的低价会员，爱体育平台。在测试中，我们发现虽然系统限制了同一新用户不能多次低价签约，但并未对解约后再次签约进行有效校验，这导致用户可以成功“白嫖”低价会员。

总的来说，这些漏洞揭示了Web业务逻辑中的一些薄弱环节。为了保障网络安全，我们需要不断地进行漏洞挖掘和修复，确保用户的信息和财产安全。以下是几个相关链接，供大家进一步了解：

- https://forum.butian.net/share/1125

- https://mp.weixin.qq.com/s/uKL9E3H1PKLnN1Of3m4EgA

- https://mp.weixin.qq.com/s/RigIT0U72oq6gpBjEaHqLg

- https://mp.weixin.qq.com/s/VKFpGSQPIlOV2iunhObc-g

- https://mp.weixin.qq.com/s/Lof30nJ31axpoQmVCsMWgw

- https://mp.weixin.qq.com/s/Is_TLS0V8fltrLvzJXwfuA