北美微论坛

标题: 发现了一个用Staples GC买其它GC的方法【已成功】 [打印本页]

作者: cnzzd 时间: 2015-2-14 03:49
标题: 发现了一个用Staples GC买其它GC的方法【已成功】
本帖最后由 cnzzd 于 2015-3-12 00:35 编辑

本文介绍的是使用Staples礼卡在staples.com 购买其他礼卡的方法。

最近收到了Discover邮来的Staples礼卡。

我想要一张Gamestop 的GC
比如说这个：

本文使用Chrome浏览器讲解的。

然后Add to cart -> checkout -> begin checkout
之后可以选择登录什么的，我没试过，我使用的是Guest Checkout
* 因为这张礼卡是Email给你的，不需要邮寄，所以个人地址姓名什么的可以不用那么“真”（仅限于Guest Checkout），把邮箱填对了就好
然后我们来到了这里：

Payment option 那里Giftcard是灰色的。然后在“Staples Gift Card”这里右键 -> Inspect Element (也叫审查元素) 这样就弹出了Developer Tools

方法一：{
看见最右侧了的“disabled="disabled"”了么，双击“disabled="disabled"” 然后就能编辑，把这几个词删掉就行了
删好了就如下图：

}

方法二:{
在Console（这个Developer Tools的最下面一行）输入 document.getElementById('staplesGiftCardCheckbox').disabled = false; 回车即可
}

这个时候 GC那个选项就可用了，勾上，然后输入GC号码和PIN就好了。（每次使用不超过五张）

很显然。。这是一个很傻很天真漏洞，简单说就是后台没有验证Payment Method，只是让前台装装样子而已，属于Validation performed in client这类漏洞

这篇文章是我确认我收到了我的Gamestop GC之后才发表的。
如果你们大批量地撸被人工发现了的话，那保不齐以后能不能用了。请自行承担风险

作者: christinalu 时间: 2015-2-14 07:31

作者: 横向发展 时间: 2015-2-14 08:26
坐等

作者: 鹏鹏Nix 时间: 2015-2-14 08:36
貌似我这直接可以买啊···小二很爽快

作者: cnzzd 时间: 2015-2-14 10:59
已更新

作者: tourdream 时间: 2015-2-14 11:02
好文！建议加权限

作者: 王小闲 时间: 2015-2-14 11:03
给力贴啊````

作者: 跑跑卡丁车 时间: 2015-2-14 11:08
好有营养

作者: tourdream 时间: 2015-2-14 11:09
是不是还能弄VGC

作者: 我为学狂一号 时间: 2015-2-14 11:09
赶紧试试买v g c阿，看来码农把后台程序给修改了阿

作者: tulipiris 时间: 2015-2-14 11:45
提示: 作者被禁止或删除内容自动屏蔽

作者: zack需要正能量 时间: 2015-2-14 12:16
赞一个先，晚点试试

作者: Watsup大音 时间: 2015-2-14 13:10
技术贴，必须顶

作者: 鹏鹏Nix 时间: 2015-2-14 14:00
用了5张25的+cc 买了vgc

作者: WayneWayne 时间: 2015-2-14 14:02
赞码农威力！！

作者: Camelot 时间: 2015-2-14 14:07
gamestop什么的gc不是很值钱，要能买vgc就好了。不过辛苦了

作者: 北美大白兔 时间: 2015-2-14 14:11
有技术的帖子。。。

作者: 青鸾学院 时间: 2015-2-14 14:29

作者: 大明湖畔雨荷夏 时间: 2015-2-14 18:46
太厉害！！！

作者: DEVGRU 时间: 2015-2-14 19:05
lz威武！

作者: 我爱我vava 时间: 2015-2-14 19:54
V587！！

作者: 左津凡凡 时间: 2015-2-14 20:25
加精

作者: 机器的猫 时间: 2015-2-15 00:03
太有用了

作者: VIVIAN_KH 时间: 2015-2-15 00:24
记一下

作者: ciscosen 时间: 2015-2-15 03:08
好奇的是为什么前台修改了表面上就能使用了

作者: cnzzd 时间: 2015-2-15 03:56
本帖最后由 cnzzd 于 2015-2-15 02:58 编辑

ciscosen 发表于 2015-2-15 02:08
好奇的是为什么前台修改了表面上就能使用了

你去上个什么intro to web programming就自然知道了。服务器返回给你的数据都是可以改的，你打开网银，还能把你的余额改成两亿呢，但是银行也有你余额的数据，自然改了也白改。如果银行没有另存你的余额数据，只靠你返回的信息更新余额呢？那不就傻*了么。不过你可以用这种方法恶搞，比如说。。改改快递跟踪结果什么的。。改成快递小哥被爆菊，出车祸，被狗咬什么的。网上大部分这样的截图都是自己改出来的。。。。

作者: nancy_nj 时间: 2015-3-11 15:25
买了，被坎单了

作者: ziopody 时间: 2015-3-11 20:43
这开发也太不负责了

作者: dxy007 时间: 2015-3-11 20:51
..居然只有前端验证。。。看了staple招了不少阿三码农啊。。

作者: 巭孬嫑夯莪 时间: 2015-3-12 07:22
被前端工程师玩坏了，哈哈哈，后台都不validate一下

作者: 校长 时间: 2015-3-12 08:03
室友问我为什么跪在电脑前满脸泪水

作者: 了哼 时间: 2015-3-12 08:07
被砍单了。

作者: 09817167d 时间: 2016-3-1 10:11
发现现在已经不能这么做了啊，只要submit order，系统就自动回到购物车。说 payment 不成功

作者: dayyoung 时间: 2016-3-1 10:30

作者: 卍丶過路鬼 时间: 2016-3-1 11:26
虽然看不懂，但觉得特别高端！

作者: 因为你快乐 时间: 2016-3-1 11:35
哇塞看起来很厉害的样子啊

作者: yuanlibo 时间: 2016-3-1 11:41
吊

作者: teabag 时间: 2016-3-1 11:45

因为你快乐xxq 发表于 2016-3-1 11:35
哇塞看起来很厉害的样子啊

这个会马上被玩死了，一批大神要没饭吃了。
超过一定额度会人工审核的。

作者: teabag 时间: 2016-3-1 11:46
干，原来是挖坟狗

作者: Ixiaovan 时间: 2016-3-1 11:53
牛逼。。。

作者: Wihx 时间: 2016-3-1 13:49
牛！！！

作者: Ace7 时间: 2016-3-1 14:03
虽然马上要死了，但提供了一个新想法哟，每个网站都可以这样试探吧

作者: JasonChen 时间: 2016-3-1 14:28

Ace7 发表于 2016-3-1 14:03
虽然马上要死了，但提供了一个新想法哟，每个网站都可以这样试探吧

不是已经死了吗

作者: shenxp 时间: 2016-3-1 14:30
好贴

作者: seajiro 时间: 2016-3-20 20:43
好贴！但漏洞已死。。哎。。可惜我还拿着好多staple的卡没地儿用，现在二手gc市场价又不高。

作者: 坐标va 时间: 2016-3-20 20:58

seajiro 发表于 2016-3-20 20:43
好贴！但漏洞已死。。哎。。可惜我还拿着好多staple的卡没地儿用，现在二手gc市场价又不高。 ...

头像是本人吗

作者: 因为你快乐 时间: 2016-3-20 21:53

seajiro 发表于 2016-3-20 20:43
好贴！但漏洞已死。。哎。。可惜我还拿着好多staple的卡没地儿用，现在二手gc市场价又不高。 ...

头像本人吗

作者: minglam310 时间: 2016-3-20 22:14
厉害....

作者: 2012志 时间: 2016-3-22 00:05
已死~

作者: K-iPhone-u 时间: 2016-5-23 17:45
又一个漏洞给sd撸死了

作者: kevin000 时间: 2016-8-21 07:09

作者: skywudou 时间: 2016-8-21 07:20

鹏鹏Nix 发表于 2015-2-14 14:00
用了5张25的+cc 买了vgc

怎么弄的？步骤？25的啥？

作者: cn_xm 时间: 2016-8-21 11:15

欢迎光临北美微论坛 (https://www.moonbbs.com/)