当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-013108

漏洞标题:微微网络电话包月充值支付可以更改任意金额充值

相关厂商:微微网络电话

漏洞作者: winston

提交时间:2012-10-07 21:16

修复时间:2012-11-21 21:17

公开时间:2012-11-21 21:17

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-10-07: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-11-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

在进行包月套餐的充值过程中,可以人为的进行修改实际的金额,进而造成了支付金额与包月的套餐金额不相同

详细说明:




漏洞证明:




修复方案:

同样的问题多了,你们的维护人员比我专业的多。

版权声明:转载请注明来源 winston@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论

  1. 2012-10-07 23:10 | 笔墨 ( 实习白帽子 | Rank:75 漏洞数:20 | 瘦子)

    呵呵,拿我的洞来提交。人品不错嘛。

  2. 2012-10-07 23:26 | 笔墨 ( 实习白帽子 | Rank:75 漏洞数:20 | 瘦子)

    好心在群里分享了下,来这么一出,呵呵

  3. 2012-10-07 23:36 | circus ( 实习白帽子 | Rank:54 漏洞数:4 | 你会为一件事去说一句话,也会为一句话去干...)

    @winston 你个垃圾。

  4. 2012-10-08 13:34 | Docee ( 路人 | Rank:10 漏洞数:3 | 屌丝)

    早发现了。。包括注册也有问题。。。伪造表单。.。不过这家网络电话的音质很差。。。。

  5. 2012-10-08 14:37 | winston ( 实习白帽子 | Rank:46 漏洞数:7 | nothing)

    @circus @笔墨 哥你说话要注意一下好么?我没有加什么群。这个网站确实不是我关注过后,不过这个问题是我自己找的好么?如果和你的有冲突之类,那也不一定就是抄袭你的啊。而且我也不至于吧。这个也没有钱不是么?还是希望你可以注意一下你的语言

  6. 2012-10-08 16:16 | 笔墨 ( 实习白帽子 | Rank:75 漏洞数:20 | 瘦子)

    @winston 抱歉,是我误解了。我道歉。

  7. 2012-10-08 18:16 | circus ( 实习白帽子 | Rank:54 漏洞数:4 | 你会为一件事去说一句话,也会为一句话去干...)

    @winston 好吧

  8. 2012-11-02 00:57 | Seay ( 实习白帽子 | Rank:65 漏洞数:8 )

    @winston 表示曾经邪恶的搞了下一家百度排名靠前的网络电话,看后台金额50多W。。。顿时尿了...现在偶尔用来打打电话

  9. 2012-11-24 22:14 | 黄小昏 ( 实习白帽子 | Rank:55 漏洞数:7 | alert(妹子))

    @笔墨 @circus @Seay 一群大牛...网络电话杀手