115网盘支付绕过缺陷及修复 | wooyun-2012-06684| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-06684

漏洞标题：115网盘支付绕过缺陷及修复

漏洞作者： mibboy

提交时间：2012-05-04 21:12

修复时间：2012-05-09 21:13

公开时间：2012-05-09 21:13

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2012-05-04：细节已通知厂商并且等待厂商处理中
2012-05-09：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

可以免费开通115网盘的VIP会员

详细说明：

刚刚在红黑联盟上看到的漏洞，购买115网盘的VIP或者扩容的时候，使用FIDDLE截取数据包，修改购买的年份，当超过一定月份时，不再用月份X单价，而是直接显示支付金额为0。

漏洞证明：

修复方案：

防止数据包截取把

版权声明：转载请注明来源 mibboy@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2012-05-09 21:13

厂商回复：

漏洞Rank：13 (WooYun评价)

漏洞评价：

2012-05-04 21:21 | mibboy ( 路人 | Rank:13 漏洞数:3 | 空间求友链，低调求发展)

发现已经是老漏洞了，删了吧，免得丢人····
2012-05-04 21:32 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

@mibboy 可能和我的有不同的方法吧。。@xsser 查查这个漏洞和我的这个是不是相同的。 WooYun: 115网盘存在支付绕过
2012-05-04 21:35 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

@mibboy ......看错了...........
2012-05-04 21:51 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

1 大量提交未经验证的无用信息（如简单提交从外部转过来的安全问题，并且提交的时候不做任何验证） 2 对提交的信息不经过任何思考和验证（如提交的信息分类说明以及评价不正确，不加以思考的，典型的譬如对xss漏洞和URL跳转漏洞不加思考的提交） 3 对自己的荣誉极不尊重（WooYun对通过验证的白帽子极为信任，但是如果不爱惜这种信任的譬如屡次提交1，2中的问题的）
2012-05-05 00:43 | xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

两次了，封号
2012-05-05 01:53 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

@imlonghao @xsser 感觉不算恶意提交，建议别封，在zone让@mibboy 说清楚情况。
2012-05-05 07:29 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

@horseluke 对去zone说理由。
2012-05-05 09:31 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

应该已经封了歪？
2012-05-05 10:05 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

@一刀终情没
2012-05-05 10:14 | mibboy ( 路人 | Rank:13 漏洞数:3 | 空间求友链，低调求发展)

大呼冤枉、
2012-05-05 10:37 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

@imlonghao 我打错字了@@我想说的是，应该已经修复了……
2012-05-05 10:47 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

@mibboy @一刀终情等厂商，这次雨林木风的速度慢了。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-06684

漏洞标题：115网盘支付绕过缺陷及修复

相关厂商：广东雨林木风计算机科技有限公司

漏洞作者： mibboy

提交时间：2012-05-04 21:12

修复时间：2012-05-09 21:13

公开时间：2012-05-09 21:13

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 mibboy@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-06684

漏洞标题：115网盘支付绕过缺陷及修复

相关厂商：广东雨林木风计算机科技有限公司

漏洞作者： mibboy

提交时间：2012-05-04 21:12

修复时间：2012-05-09 21:13

公开时间：2012-05-09 21:13

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2012-06684"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 mibboy@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：