漏洞概要
关注数(24)
关注此漏洞
漏洞标题:115网盘存在支付绕过
提交时间:2012-03-18 18:18
修复时间:2012-05-02 18:19
公开时间:2012-05-02 18:19
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2012-03-18: 细节已通知厂商并且等待厂商处理中
2012-03-18: 厂商已经确认,细节仅向厂商公开
2012-03-28: 细节向核心白帽子及相关领域专家公开
2012-04-07: 细节向普通白帽子公开
2012-04-17: 细节向实习白帽子公开
2012-05-02: 细节向公众公开
简要描述:
星期五找到了微博微号的支付绕过,今天又找到一个。。。。。
程序缺陷,可能导致购买商品时的支付绕过。
详细说明:
购买115网盘的VIP或者扩容的时候,使用FIDDLE截取数据包,修改购买的年份,当超过一定月份时,不再用月份X单价,而是直接显示支付金额为0。。
可能解释不清楚,看了下面的图你就懂的。
漏洞证明:
将q修改成狂按999999999999
月份太多,出现错误,直接金额为0
支付成功1
支付成功2
修复方案:
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2012-03-18 18:29
厂商回复:
非常感谢!
最新状态:
暂无
漏洞评价:
评论
-
2012-03-18 19:29 |
Frankie ( 路人 | Rank:10 漏洞数:1 | 你存在,我的代码里...Line 0://你)
-
2012-03-18 22:09 |
imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )
@ 广东雨林木风计算机科技有限公司 我勒个去,名字那么长,满分霸气。。我还以为厂商没有注册。。。
-
2012-03-18 22:40 |
王老公 ( 路人 | Rank:27 漏洞数:8 | 最新门事件 色中色门户网 www.sexofsex.ca ...)
-
2012-03-18 23:14 |
王老公 ( 路人 | Rank:27 漏洞数:8 | 最新门事件 色中色门户网 www.sexofsex.ca ...)
擦,看到哥早上发的115有漏洞的消息了吧?早上提交的我的怎么不给我通过?wooyun就是这样吗?丢人啊。。。后来居上还真是说的对啊。。。大家以后别在wooyun发漏洞了,你发现的会被别人恶意利用,麻痹。。。
-
2012-03-18 23:27 |
imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )
@王老公 我成坏人了?我今天下午5点发现该漏洞存在,并且查看了提交的漏洞中有没有已经提交的,确定没有后我才发布的漏洞。至于你说得谁先谁后不的我也搞不清楚。不过我知道白帽子发布漏洞假如厂商已注册的话提交漏洞是不需要审核的。
-
2012-03-18 23:31 |
imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )
呼叫大牛们。@xsser @zeracker @pestu
-
2012-03-18 23:35 |
王老公 ( 路人 | Rank:27 漏洞数:8 | 最新门事件 色中色门户网 www.sexofsex.ca ...)
@imlonghao 唉,谁先谁后已经不重要了,我在乎的是我早上提交的漏洞,乌云为什么没反应?
-
2012-03-19 01:41 |
xsser 
( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@王老公 你提交的没有被收录 因为没有详细说明过程 而且漏洞类型都不正确 你应该能看到不通过原因的
-
2012-03-19 09:16 |
王老公 ( 路人 | Rank:27 漏洞数:8 | 最新门事件 色中色门户网 www.sexofsex.ca ...)
@xsser 我也没收到没通过的原因啊。。无所谓了,反正哥弄了5年的VIP。。。
-
2012-03-19 10:00 |
softbug ( 实习白帽子 | Rank:66 漏洞数:10 | 为人类设计最好的软件,解放人的双手,一起...)
@王老公 “由于没有联系到厂商”,所以你的漏洞不会被通过,俺的漏洞也没有通过,索性后面的也没提交了,当看客吧。挺好的。
-
2012-03-19 10:19 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2012-03-19 10:21 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@softbug 乌云还是很注重质量的 希望相互理解
-
2012-03-19 14:55 |
pestu ( 普通白帽子 | Rank:170 漏洞数:13 | 关注计算机网络安全 lnmpa技术)
-
2012-03-19 17:00 |
王老公 ( 路人 | Rank:27 漏洞数:8 | 最新门事件 色中色门户网 www.sexofsex.ca ...)
-
2012-03-19 17:00 |
王老公 ( 路人 | Rank:27 漏洞数:8 | 最新门事件 色中色门户网 www.sexofsex.ca ...)
-
2012-03-19 21:56 |
凤凰 ( 路人 | Rank:15 漏洞数:6 | 涅磐)
@xsser 请问wooyun的内部讨论区在哪啊。。。
-
2012-03-19 22:07 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@凤凰 还没对外呢 zone.wooyun.org
-
2012-03-19 22:13 |
imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )
@pestu 本来是修改的月份乘上单价的,我这样就是把月份弄得超大。然后系统错误,直接返回金额为0
-
2012-03-19 22:19 |
imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )
@xsser 哈哈,内部开放的。现在才知道有这样一个东西。
-
2012-03-19 22:19 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2012-03-19 22:21 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@imlonghao 不是内部开放,由于刚完成,还没来得及测试,很少部分公开,乌云没有内部这一说
-
2012-03-19 22:22 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@王老公 在我的漏洞->我发布的漏洞里面可以直接看到没有通过的原因
-
2012-03-19 22:33 |
imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )
-
2012-03-19 22:44 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@imlonghao 对的 所以很多地方不完善 想等忙完这阵之后再开放的
-
2012-03-19 22:49 |
imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )
@xsser 到时是打算将发帖回帖也是只允许白帽子?
-
2012-03-19 22:58 |
pestu ( 普通白帽子 | Rank:170 漏洞数:13 | 关注计算机网络安全 lnmpa技术)
-
2012-03-19 23:08 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@imlonghao 可能会对外 但是一段时间只允许白帽子
-
2012-03-19 23:18 |
imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )
-
2012-03-19 23:21 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@imlonghao rankx2+将来的某些福利 :)
-
2012-03-19 23:25 |
imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )
-
2012-04-18 22:58 |
一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | PKAV技术宅社区-安全爱好者)
-
2012-05-02 22:48 |
Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)
【小白求学】 IDDLE截取数据包 有什么用途呢?
-
2012-05-03 11:02 |
horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)
-
2014-04-14 14:04 |
小贱人 ( 路人 | Rank:4 漏洞数:3 | 资深菜鸟,)
-
2014-10-30 10:46 |
px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)
