记两岸同胞的逻辑碰撞

前言： 第一次挖这家src，看src自己给出的资产(赞一个)，打开网站是一个电子商务C2C业务，大致扫了一眼业务，网站功能挺多的，出了不少货，挖的过程中，导致一些诡异的逻辑被触发了，在此仅对系统业务逻辑类漏洞进行叙述分享。

正文：

<1>未授权批量删除购物车漏洞 (1) 第一个也是最想说的一类漏洞，基于网购平台，网站具有收藏/购物车等功能，此处漏洞触发点在购物车功能，系统设计了未登录用户也可以对商品进行添加购物车操作，我不李姐，正常的网站进行未登录操作收藏时应跳转到登录页面，登录后再进行收藏、加至购物车等操作。 (2) 但网站已运行多年，我只能理解为这就正常业务需求，网站对未登录用户进行了简单的会话标识，经过不断添加取消购物车，发现网站收藏是对商品id进行操作，且未登录用户可以对添加至购物车的商品进行删除操作，可以将此收藏商品所有用户(登录、非登陆用户)从购物车将此商品进行删除，重放删除请求，遍历商品id就可以达到未授权批量的效果，附图

(3) 不一会网站的客服就打电话了，说我频繁添加购物车操作，网站会给厂商发短信， 厂商会给平台打电话咨询买家资金实力，我又不李姐了，我就添加个购物车而已，台湾的客服打电话给我，我还以为日偏了，这种未授权细心观察就能白捡。

<2>任意群组操作漏洞 (1) 个人中心的一处添加联系人和群组，可以创建联系人、群组。联系人、群组通过id标识。 (2) 由于群组id存在规律，可以修改id对他人群组进行任意操作，由于联系人id进行加密，且前端未解密而是直接拿服务端加密完的数据进行操作，加密完的群组数据为id20位，意为不可猜解，一般厂商不收，这里也没提交，但经过测试确实存在联系人确实也存在越权。

<3>会员模板越权使用漏洞 注册商家用户登录系统后，可以向平台进行商品发布申请，申请有免费版、付费版之分，但系统对非付费用户，进行了前端模板隐藏操作，例如:<--付费模板1 付费模板2付费模板3-->，只需要进行js代码修改，放开就可以直接使用,直接笑嘻嘻。

总结： 经过后期跟运营沟通，反馈站点是厂商收购的业务，自己独立运营，很多业务厂商那边也不是很清楚，很多业务逻辑有点脑洞大开，导致漏洞审核时间拖得比较久，均已修复，现发出思路跟各位表哥交流。