[置顶]大学生利用逻辑支付漏洞薅肯德基羊毛

华盟原创文章投稿奖励计划

文章来源: 黑客故事汇

最近,看到2018年的一件案子火了,很有意思,跟大家一起分享一下。

主人公:徐大胆,1998 年出生,江苏某大学的在校生。

2018 年 4 月,在利用肯德基客户端点餐过程中,徐大胆无意间发现两个"生财门道"。

第一个是在 App 客户端用套餐兑换券下单,进入待支付状态后暂不支付,之后在微信客户端对兑换券进行退款操作,然后再将之前App客户端的订单取消,这时候发现,之前App客户端用的那张套餐兑换券又返还回来了,利用此种方式分文未付得了退款,还骗取了一份兑换券。

第二个是先在 App 客户端用套餐兑换券下单待支付,在微信客户端退掉兑换券,在去 APP 客户端支付,这时便可以支付成功并获得取餐码,此种方式等于分文未付骗取了一份套餐。

大学生利用逻辑支付漏洞薅肯德基羊毛

相信很多人都清楚了,这不就是逻辑支付漏洞吗?

这个漏洞,龙哥是在熟悉不过了。

什么,一分钱在北斗商城买iPhone手机,一毛钱在红酒世界官网买红酒。

大学生利用逻辑支付漏洞薅肯德基羊毛

龙哥在监狱打扣眼的时候,抽空给我讲过,出现这种逻辑支付漏洞,大概就两种情况:

  1. 前端验证

  2. 华盟知识星球入口

    数据未同步

从14年到现在,国内有一大批技术不强,但是胜在人数众多的羊毛党,除了传统的薅羊毛操作,很多人也盯上了逻辑支付漏洞。

他们只会用一个工具:Fiddler(小提琴)

他们每天的任务和工作,就是在各种拥有在线支付和下单的商城或者平台利用Fiddler抓包改包测试充值和低额支付漏洞,组成线报群,只要有一个人发现一个商城或者平台有此类漏洞,一群人蜂拥而至,趁火打劫。

那么,本案当中的主人公徐大胆,无意之中发现这个漏洞以后,他肯定很高兴,在这里,我们可以把他当成无意发现的,也可以当成有意发现的,或者干脆点,他有可能就接触过类似的薅羊毛线报群。

反正他肯定很幸福是肯定的,利用这个漏洞,每天汉堡、鸡腿、可乐反正肯定不要钱的随便吃喝了,就冲这一点,有免费食堂,他也得幸福。

大学生利用逻辑支付漏洞薅肯德基羊毛

徐大胆天天喝可乐、吃鸡翅膀,好家伙,什么家庭,关键还一分钱不花,日子久了难免有些膨胀,自然,也打起了歪脑筋。

首先,他将诈骗得来的套餐产品通过线上交易软件低价出售给他人,不仅自己白嫖,还利用白嫖的能力低价给别人嫖,肯德基就这样被糟蹋了。

当然,徐大胆还与同学有"福"同享,将犯罪方法当面或通过网络传授给丁某等 4 名同学。截至同年 10 月案发,徐大胆的行为造成百胜公司损失 5.8 万余元,丁某等四人造成百胜公司损失 0.89 万元至 4.7 万元不等。

看看金额都知道,鸡翅膀肯定没少吃。

那么这么就构成了,非法占用、传授犯罪方法了,一直到2019年4月警方接到被害单位报案,在前往学校进行调查的时候,几人眼看事情败露,进行了投案自首。

肯定也有很多人觉得,警方来了才投案这也算自首?当然算,在事情没有查明之前,主动投案自首交代的,是可以按自首算的,何况都是学生,警方也没有必要过度的为难他们。

接着,上海市徐汇区检察院于2019年10月向徐汇区人民法院提起公诉,包括徐大胆在内的五名在校学生被公诉,好家伙,肯德基的鸡腿那么好白嫖吗?

本案有几个主流的分歧问题:

1.徐大胆的行为属不属于薅羊毛?

2.徐大胆行为是不是盗窃?

3.为什么说徐大胆是诈骗?

在回答这三个问题之前,我们得说下案件最后,徐大胆最后认定的罪行。

根据被告人犯罪的事实、性质、情节和对于社会的危害程度,徐汇法院依法认定徐某犯诈骗罪,判处有期徒刑二年,并处罚金人民币六千元;犯传授犯罪方法罪,判处有期徒刑十个月,决定执行有期徒刑二年六个月,并处罚金人民币六千元。丁某等四人皆因相同案由被分别认定为诈骗罪或诈骗罪、传授犯罪方法罪,分别被判处有期徒刑两年至一年三个月,并处罚金人民币四千元至一千元不等的刑罚。

所以就回到了上面的三个问题.

第一.为什么不是薅羊毛的行为?

类似的行为可以理解为,通过购买大量的虚拟手机号码。去美团薅首单优惠,或者优惠券等,肯定是为了获利,但是这种薅羊毛是利用了平台本身的规则来进行的,再说这徐大胆,你说你自己用也就算了,你还利用该系统漏洞通过网络平台售卖优惠券,售卖优惠券就算了,你还教了四个小徒弟来薅,这不就完犊子了?

第二.为什么不是盗窃罪?

关于这个问题,很多人都认为是盗窃,理由是人和机器不一样,机器不能自己发现错误,就像现在的拖拉机坏了,拖拉机自己没有意识知道自己到底哪儿坏了,肯德基客户端和微信客户端的数据不同步造成的这样的漏洞,是整件事情的起因,但是在发现这个漏洞之后,还多次利用漏洞买汉堡鸡翅膀,这个行为就很故意的构成非法占用了,但是为什么不是盗窃而是诈骗罪,我们下个问题解释。

第三.为什么定诈骗罪?

其实就是采用了某同性质案件的专家论证结果,即是「受骗的是平台管理人、使用人」的观点。

对啊,代码是我肯德基的,服务器是我肯德基的,客户端也是我肯德基的,我说让你付款下单,结果你不按套路走,取消下单还利用我两边数据不同步去支付,你骗的是机器吗?你骗的是我肯德基管理员啊,最后也是因为是管理员,才发现了里面的问题报了案。

你有张良计,我有过墙梯,所以各位读者不能以:如果不是你有漏洞,我会利去用吗?如果你网站没有漏洞我就不会去利用这种说法来为自己做托词,也不能以:我是靠自己技术吃上肯德基的,你们凭什么抓我这种诡辩来为自己开脱。

龙哥:我凭自己技术入侵的网站?你们抓我干什么?

当然,我们也可以以网络安全的角度来看,或许徐大胆的罪行可以归纳到非法获取计算机系统信息数据罪当中。

当然,我也只是说说,如果说的不对,各位可以留言说明。

1.徐大胆利用了肯德基双边数据不同步的漏洞,完成了这样的逻辑支付漏洞利用。

2.优惠券和退款都是web服务中传输的数据信息产物,多次退款、支付获取优惠券,也可以说他是获取了数据的,何况这些数据本身就是储存在web服务上的。

3.从头到尾,我们都可以大胆的猜测下,要么是徐大胆在手机上操作,无意当中从肯德基的APP操作到微信客户端,发现了这个漏洞,要么,就是文章前面说的,徐大胆曾经加入过一些羊群,了解到了FD抓包改包测试逻辑支付漏洞的一些操作,后来发现的这个漏洞。

当然,这只是猜测,人嘛,在阐述一件事情的时候,都是站在自己的立场来讲,就算是FD发现的,他也不会说自己是挖漏洞挖的,就说是无意中发现的,来规避一些风险,这些都是情有可原的,好了,咱们下一篇文章在见。

大学生利用逻辑支付漏洞薅肯德基羊毛

最后,网络抓包有风险,一停一顿需谨慎。

本文来源黑客故事汇,经授权后由congtou发布,观点不代表华盟网的立场,转载请联系原作者。

发表评论