damicms_5.4支付逻辑漏洞

漏洞描述：

逻辑越权漏洞就是当用户跳过自己的权限限制，去操作同等级用户或者上级用户。正常的情况下，当一个用户去访问某个资源的时候，首先需要去登录验证自己的权限，其次是对数据的查询，最后返回数据内容。

但是如果在权限验证这里，出现了验证不足或者根本就没有验证，那么就会导致越权漏洞的出现。并且逻辑越权又分为水平越权和垂直越权。

复现过程：

1.访问ip：port

2.注册账号登录

3.进入产品展示页面，随机选择一个

4.加入购物车，选择地址和站内扣款，开启burp抓包，点击提交订单

5.将qty值修改为-1，放包

6.查看订单

7.查看余额