WooYun.org

过年了，屌丝没钱买东西呀，但是看到注册后携程会送积分，积分在携程可以换好多东西（口水中...）
1)任意刷积分，屌丝们come on！！！
1.1）先随便选个便宜的吧，消费券貌似不错哟；

1.2）就这个咯，点击下一步并抓包分析，邪恶的发现数据中有价格参数“Manner”、数量参数“Count”；

1.3）果断将"Manner"参数值修改为“-100”并提交；

1.4）哈哈，感觉幸福是不是来的太突然了？

1.5）继续下一步，系统提示订单提交成功，返回查询详情；

1.6）通过上面我们已经成功刷了100积分，那么在上面的过程中，如果我们将“Manner”参数值该为“负一万”或是“负一千万”呢？（哈哈我就想想而已，你们携程的同学有兴趣可测试下）；
2）不刷积分，我们也能猥琐购物；
2.1）只买贵的，不选对的，我们选了一个比较贵重的摄影机，但是系统提示我积分不够无法购买；

2.2）那我们换种购买方式吧；

2.3）点击提交抓包分析，依然发现价格参数“Manner”，但是这次里面包含了购买方式的各种价格组合；

2.4）猥琐的将Manner参数里支付积分改为“1”，需支付金额改为“0”并提交；

2.5)点击下一步，继续提交，系统提示成功咯，激动中...;

2.6)返回查看订单详情，系统正在处理订单！

PS：仅仅测试，未恶意利用！订单我已经取消！！！