业务逻辑漏洞——1块钱买手机

思路：在提交订单的页面修改金额，或者商品数量
靶机：win2k8+phpstudy+“大米CMS”
攻击机：Burpuite

1：首先注册一个账号

然后访问账户，发现自己没钱

2：修改后台数据，先给自己来1块钱，开局

再来确认一下，张三果然有了1块钱

（介绍一下如何通过修改数据库来更改张三的钱）

3：选购商品

4：开启BurpSuite抓包，并提交订单，把金额修改为1

看样子修改金额的方案是失败了

使用备用方案，修改商品数量为-1


5：停止Burp抓包，检查一下账户
看到下单成功

并且网站还倒贴我一部手机钱

补充：这里主要是想多演示一下使用后台管理员修改其他账户，其实张三0元开局也可以