挖个洞先
https://mp.weixin.qq.com/s/m8ULZ52p1q_mKrCRnaI_7A

“ 以下漏洞均为实验靶场，如有雷同，纯属巧合 ”

01

—

漏洞证明

一、遍历手机号

“ 没有验证码二次校验的漏洞如何扩大危害？”

1、输入手机号码，领取优惠券场景

2、先输入手机号A，发现没有验证码等二次校验，页面显示领取成功

3、回到APP查看优惠券已到账

4、再输入手机号B，手机号C，都没有验证码二次校验，直接领取并且成功到账，均为满1元可用优惠券

二、并发领取优惠券

“ 签到领取1张优惠券场景，如何领取多张优惠券？”

1、签到领取优惠券场景

2、签到1天可领取1张2元无门槛优惠券

3、并发领取优惠券数据包，到账多张优惠券

4、经测试，签到处所有天数均存在并发领取多张优惠券漏洞

02

—

漏洞危害

1、遍历手机号给全站用户发放21元无门槛优惠券

2、并发领取多张优惠券