电商平台的命门藏在业务逻辑里。人工测试不是点按钮走流程，而是用攻击者思维撕裂业务规则。优惠券与支付环节的攻防演练，核心在于逆向拆解正常流程中的每个决策点。

优惠券系统的致命三连击
第一层攻击瞄准组合叠加规则。人工构造并发请求：领券接口同时提交满减券与折扣券，观察是否触发未设计的叠加优惠。关键在于修改请求头的Timestamp字段制造时间重叠，这招曾击穿某平台风控，导致百元商品负价成交。第二层测试过期券复用。抓取已失效优惠券ID，在支付环节替换有效券参数，验证服务端是否仅检查券状态而忽略有效期。第三层攻击发放逻辑。模拟新设备注册领券脚本，循环请求直至触发“不限量发放”漏洞。真正的业务逻辑漏洞往往藏在“异常合理”的规则盲区。

支付环节的金额篡改矩阵
重点检测四类参数篡改可能性：
订单总价：拦截支付请求修改total_amount值
运费字段：将shipping_fee置为负数抵消货款
优惠抵扣：放大discount值使其超过订单总额
汇率参数：跨境支付时修改exchange_rate

某跨境电商平台因未校验汇率参数签名，被人工测试篡改1美元=100日元的比例，套现百万日元。测试时必须关闭前端校验，直接向支付网关发包——这是暴露业务逻辑漏洞的唯一路径。

库存与支付的死亡竞速
支付成功但库存未扣减的经典漏洞，需设计三步爆破方案：
对单商品发起百次支付请求
在支付回调前取消半数订单
验证实际库存与交易记录差值

人工测试的核心技巧在于操控时间差。通过延迟回调接口响应300毫秒，某平台暴露了库存锁失效问题：成功支付数超库存200%。

退款链路的逆向腐蚀
从退款结果反推支付校验漏洞：
全额退款后复用原订单号二次支付
部分退款时修改refund_amount超过实付额
取消已退款订单的物流单进行重复退款

某生鲜平台因未关联退款单与物流状态，被测试人员利用已签收订单发起运费险重复索赔。

攻防演练的报告铁律
在人工测试报告中必须标注五要素：
原始业务规则描述
漏洞触发点的请求包哈希值
系统异常响应片段
实际造成的业务影响

修复优先级建议（依据GB/T 30279-2020）
避免使用“建议加强校验”类模糊表述，直接指明：“应在支付网关回调时验证库存锁版本号”。

业务逻辑安全没有银弹。当规则引擎遇上人性贪婪，唯有通过持续攻防演练，让人工测试的刀锋在优惠券与支付链路上反复刮削，才能剥离出那些致命的逻辑癌变。在电商业态里，最贵的从来不是被薅的羊毛，而是未被发现的漏洞。