当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-013154

漏洞标题:易拍网充值漏洞,已成功支付

相关厂商:易拍网

漏洞作者: Night

提交时间:2012-10-09 14:11

修复时间:2012-11-23 14:12

公开时间:2012-11-23 14:12

漏洞类型:网络设计缺陷/逻辑错误

危害等级:中

自评Rank:11

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-10-09: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-11-23: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

易拍网充值漏洞,可用1元钱兑换20000返点!

详细说明:

首先进入易拍网,网址:www.yeepai.com登陆账号点充值


点击充值¥ 1000 = 100000 拍点 + [ 赠送 20000 返点 + 再送 60元代金券 ] 的
付款银行点击工商银行,然后修改!


将1000修改为1,,下面提示就成了充值1元,1百拍点了,但是充值完成之后的20000返点依然会默认为充值1000块钱的额度赠送,也就是我们充值1元钱就可以享受充值1000的待遇了!


生成订单看看!


赠送返点: 20000点 果然是20000点!

漏洞证明:


修复方案:

我在易拍花了好多拍点啊,连个草都木有拍到一根,希望官方来点补偿奖励吧!

版权声明:转载请注明来源 Night@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2012-10-09 15:17 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    充再多也没用啊,你拍的过机器人么~不过似乎有用,你拍的价格超过他预期价格就行……这种公司就不该提,就该充了拍死它

  2. 2012-10-09 21:30 | 小菜 ( 路人 | Rank:6 漏洞数:2 | 菜鸟一个,等有一天变成大牛了,还是叫小菜...)

    目测后台应该会人工审核,因为基本上都是机器人拍下,真正发货的没几个

  3. 2012-10-09 23:09 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    可怜洞主了,你太多也搞不过机器人啊

  4. 2012-10-10 00:13 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    逻辑错啦,搞的过机器人,你超过他的预期值,机器人就不跟你抢了~而你实际超过他预期值的成本很低,所以洞主可以搞,不过我下午充值以后就出错,浪费了好几分钱啊……

  5. 2012-10-10 00:14 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @小菜 @xsser 居然没@你们

  6. 2012-10-11 11:31 | winston ( 实习白帽子 | Rank:46 漏洞数:7 | nothing)

    我记得乌云里面有一篇文章写的好像就是这个网站的机器人问题吧。

  7. 2012-10-12 14:09 | 桔子 ( 路人 | Rank:4 漏洞数:4 | 一个小小的学生而已)

    @Night 不过应该没用吧。。。会验证的吧。。。