漏洞概要
关注数(24)
关注此漏洞
漏洞标题:佳域手机官方商城支付漏洞
漏洞作者: 水
提交时间:2012-07-09 13:58
修复时间:2012-08-23 13:58
公开时间:2012-08-23 13:58
漏洞类型:设计缺陷/逻辑错误
危害等级:低
自评Rank:5
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2012-07-09: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-08-23: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
佳域手机官方商城支付漏洞以及发货逻辑漏洞
详细说明:
1.立即支付页面修改表单信息
2.生成的交易中转页面,支付金额与id、事件等字段对应关系合法
3.交易页面
漏洞证明:
1.我的订单
第二条订单,状态为等待补款,未全款支付却已经发货
2.订单详情
付款0.01元,尚未完成订单,已发货
3.为订单付款
4.快件状态
5.顺快递签收单
6.手机
修复方案:
版权声明:转载请注明来源 水@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:10 (WooYun评价)
漏洞评价:
评论
-
2012-08-23 14:08 |
Z-0ne 
( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)
-
2012-08-24 22:23 |
Seay ( 实习白帽子 | Rank:65 漏洞数:8 )
-
2012-08-24 22:52 |
冷冷的夜 ( 普通白帽子 | Rank:135 漏洞数:12 )
-
2012-08-24 22:54 |
Max ( 实习白帽子 | Rank:45 漏洞数:7 | When you see this sentence, I have been ...)
-
2012-08-24 23:01 |
猥琐 ( 路人 | Rank:6 漏洞数:2 | 学习什么的最重要!)
-
2012-08-24 23:01 |
px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)
-
2012-08-24 23:51 |
一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | PKAV技术宅社区-安全爱好者)
-
2012-08-25 10:02 |
only_guest ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)
-
2012-08-25 12:41 |
yy520 ( 普通白帽子 | Rank:139 漏洞数:12 )
-
2012-08-25 15:59 |
Master ( 路人 | Rank:29 漏洞数:10 )
-
2012-08-25 18:59 |
popok ( 普通白帽子 | Rank:117 漏洞数:24 | nothing)
大跌眼镜啊,这种机会倒是挺多的,就是咱们老实,顶多刷点虚拟积分什么的玩玩,实物订单不敢乱弄
-
2012-08-26 04:07 |
Henry:bobo ( 普通白帽子 | Rank:104 漏洞数:22 | 本胖吊!~又高又肥2个奶奶像地雷)
-
2012-08-26 04:16 |
邪少 ( 实习白帽子 | Rank:58 漏洞数:7 )
-
2012-08-26 10:23 |
T4k3 ( 路人 | Rank:13 漏洞数:2 | C coder)
-
2014-03-30 20:56 |
pkGFW ( 路人 | Rank:3 漏洞数:1 | |先从安全意识做起)
请问洞主,你有没有直接把你的sim卡插到新寄来的手机里?
-
2014-04-21 10:09 |
小贱人 ( 路人 | Rank:4 漏洞数:3 | 资深菜鸟,)
-
2015-01-27 18:38 |
Croxy ( 普通白帽子 | Rank:513 漏洞数:54 | 只会送人头)
-
2015-01-28 18:58 |
Qiudays ( 路人 | Rank:10 漏洞数:9 | 感觉自己萌萌哒)
-
2015-02-07 11:28 |
刘海哥 ( 普通白帽子 | Rank:114 漏洞数:28 | 索要联系方式但不送礼物的厂商定义为无良厂...)
-
2015-02-28 22:18 |
Dennx ( 路人 | Rank:0 漏洞数:1 | xxxxx)
-
2015-07-25 15:14 |
番茄师傅 ( 普通白帽子 | Rank:254 漏洞数:59 | http://www.tomatoyu.com/)
