当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-04112

漏洞标题:我用5块钱买了10000颗云豆

相关厂商:新浪

漏洞作者: pestu

提交时间:2012-01-31 17:15

修复时间:2012-03-16 17:15

公开时间:2012-03-16 17:15

漏洞类型:购买云豆支付漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-01-31: 细节已通知厂商并且等待厂商处理中
2012-02-01: 厂商已经确认,细节仅向厂商公开
2012-02-11: 细节向核心白帽子及相关领域专家公开
2012-02-21: 细节向普通白帽子公开
2012-03-02: 细节向实习白帽子公开
2012-03-16: 细节向公众公开

简要描述:

可以刷新云豆

详细说明:

可以刷新云豆,操作很简单

漏洞证明:

看图吧


在提交之前用工具拦截,比如fiddler,拦截到的数据


把100修改成5


看下图:需要支付100元,但实际“本次消费合计5元”


接下来的过程看图:





修复方案:

程序员懂的。其他支付业务没看,请自检。

版权声明:转载请注明来源 pestu@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2012-02-01 09:47

厂商回复:

感谢pestu提供。我们在您反馈前已得知此问题,所以给您Rank10鼓励。希望您能找出与此类似问题的其它问题。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-01-31 17:17 | Pnig0s ( 实习白帽子 | Rank:46 漏洞数:2 | The quiter you are,the more you're able ...)

    花钱你就输了亲

  2. 2012-01-31 17:19 | pestu ( 普通白帽子 | Rank:170 漏洞数:13 | 关注计算机网络安全 lnmpa技术)

    好吧。。我花钱了。。我应该用1分钱?

  3. 2012-01-31 18:11 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    不花钱,你就输了人生,亲~

  4. 2012-01-31 18:51 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    你赢了~

  5. 2012-01-31 18:53 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    确认后!可要求厂商退款!

  6. 2012-01-31 20:24 | 凤凰 ( 路人 | Rank:15 漏洞数:6 | 涅磐)

    测试时候,可以用0.01元的。。你认真了!

  7. 2012-01-31 23:04 | 木木 ( 路人 | Rank:15 漏洞数:4 | 扯淡的人生。)

    - -.厂商会10倍补偿你的。

  8. 2012-02-01 11:10 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    简单说 就是乌云10rank价值5块钱

  9. 2012-02-01 11:19 | Selina ( 路人 | Rank:11 漏洞数:4 )

    不是说10倍吗...乌云10Rank值50块...看来我这些Rank也能卖点钱o(∩_∩)o

  10. 2012-02-01 12:54 | TwoSpring ( 路人 | Rank:8 漏洞数:1 | 游走于道德与随性之间……)

    楼上有意思

  11. 2012-02-01 13:00 | QQ852451559 ( 实习白帽子 | Rank:79 漏洞数:18 | 学生党)

    Rank,,到底是什么= =

  12. 2012-03-05 13:18 | 黑龙 ( 路人 | Rank:5 漏洞数:4 | http://bit.ly/zCr8h5)

    多谢分享!

  13. 2012-03-06 11:27 | Kk_p ( 路人 | Rank:9 漏洞数:2 | 做白帽应做之事)

    要是用0.00就不知道了噢

  14. 2012-03-16 18:18 | TNT ( 实习白帽子 | Rank:52 漏洞数:10 | 关注网络信息安全、逆向等)

    这个果断亮了

  15. 2012-03-16 19:02 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    我靠。学习。谢谢分享。

  16. 2012-03-17 09:34 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    谁给个号用的fiddler 中文版,网上找的有问题~~

  17. 2014-04-23 00:07 | 小贱人 ( 路人 | Rank:4 漏洞数:3 | 资深菜鸟,)

    mark