如何用一美分購買VPS服務(wù)和網(wǎng)站空間

如何用一美分購買VPS服務(wù)和網(wǎng)站空間，相信很多沒有經(jīng)驗的人對此束手無策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個問題。

今天分享的Writeup是作者發(fā)現(xiàn)VPS和建站托管服務(wù)商的支付漏洞，通過一美分（$0.01）交易實現(xiàn)購買VPS和網(wǎng)站空間服務(wù)。

漏洞情況

存在漏洞的兩家網(wǎng)站

1. redaced.net ( 某VPS服務(wù)網(wǎng)站 )

2. redaced.com ( 某建站托管服務(wù) )

某天，我想購買一個VPS服務(wù)作為網(wǎng)絡(luò)偵測使用，于是我打開了VPS服務(wù)網(wǎng)站 redacted.net，我看到在它的購買項中有Paypal結(jié)算選項“Paypal Checkout” 。通常來說，在線支付服務(wù)會向Paypal(/cgi-bin/webscr)發(fā)送包含需要支付金額在內(nèi)的POST數(shù)據(jù)請求，當然，如果在交易過程中的Paypal支付網(wǎng)關(guān)（Braintrees Payments）未設(shè)置合理的數(shù)據(jù)過濾/驗證/措施，那么，攻擊者就能修改需要支付的金額和其它相關(guān)數(shù)據(jù)。

例如，這里redacted.net網(wǎng)站在用戶提交給Paypal的支付請求中，包含類似以下請求數(shù)據(jù)：

….&amount=1321&tax=12&….

然后，我找到了這個數(shù)據(jù)包，把它進行了一些修改，如下：

….&amount=0.01&tax=0&….

也就是說，我用一美分（$0.01）提交支付，之后，我竟然收到了redacted.net的確認郵件：

點擊其中的 “Confirm My Payment” 支付確認后，我購買的VPS服務(wù)竟支付成功了！

第二是在某建站托管服務(wù)網(wǎng)站中，當我用虛擬貨幣購買其網(wǎng)站空間服務(wù)時，我發(fā)現(xiàn)交易過程中它僅檢驗Trx ID（TRONIX支付ID）的有效性，并不對實際需要支付的金額進行驗證，所以，我又用上述方法，以一美分（$0.01）的價格，成功購買了價值差不多印尼盧比1.226.954（折合$90-&95）的網(wǎng)站空間。

看完上述內(nèi)容，你們掌握如何用一美分購買VPS服務(wù)和網(wǎng)站空間的方法了嗎？如果還想學到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！