当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-017377

漏洞标题:乐视盒子无视预约提前购买&任意修改价钱

相关厂商:乐视网

漏洞作者: 桔子

提交时间:2013-01-16 15:37

修复时间:2013-01-21 15:37

公开时间:2013-01-21 15:37

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-01-16: 细节已通知厂商并且等待厂商处理中
2013-01-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

求给我个盒子玩玩~~~
http://hd.letv.com/ 添加商品到购物车时没有进行严格的检查,导致用户可以直接向购物车中添加商品,无视预约时间限制。并且部分测试产品没有及时下线,可以买到0元产品。同时在订单向支付宝提交的时候没有进行审查,可以任意篡改提交到支付宝的金额数据。

详细说明:

求给我个盒子玩玩~~~
在商品购买页面,提交的商品ID没有进行后台验证,可以通过很多方式(如Chrome开发者控制台)来对提交的数据进行修改,然后强制向购物车中添加商品。

Snip20130116_5.png


同时,在订单付款的时候,传送的数据也没有进行后台验证,所以可以制造1元订单。貌似用支付宝支付的时候最低可以是0.01元订单。

Snip20130116_9.png

漏洞证明:

首先打开T1的购买页面:
http://hd.letv.com/index.php/product-1.html
打开Chrome控制台

Snip20130116_4.png


修改红框中的

<input type="hidden" id="goods_id" name="goods[goods_id]" value="1" />


改为

<input type="hidden" id="goods_id" name="goods[goods_id]" value="2" />


然后立即购买,即可在购物车中看到:

Snip20130116_5.png


之后就去输入信息付款了。
然后在付款的时候不要立即付款,进入会员中心,查看我的订单,打开我们刚刚下的订单:

Snip20130116_8.png


找到下面这一段:

<div class="member_cont clearfix mt10">
<form id="f_order_pay" target="_blank" action="/index.php/paycenter-dopayment-order.html" method="post">
<input type="hidden" name="payment[order_id]" value="201301161504392360" />
<input type="hidden" name="payment[money]" value="399.00" id="hidden_money"/>
<input type="hidden" name="payment[currency]" value="CNY" />
<input type="hidden" name="payment[cur_money]" value="399.00" id="hidden_cur_money"/>
<input type="hidden" name="payment[cur_rate]" value="1.0000" />
<input type="hidden" name="payment[cur_def]" value="¥" />
<input type="hidden" name="payment[pay_app_id]" value="alipay" />
<input type="hidden" name="payment[cost_payment]" value="0.000" />
<input type="hidden" name="payment[cur_amount]" value="399.00" />
<input type="hidden" name="payment[memo]" value="" />


修改其中的399,全部修改为1,点击立即支付:

Snip20130116_9.png


只需1元就可提前购买盒子啦~~~
附送:
http://hd.letv.com/index.php/product-1.html
这个页面的product后面的ID可以随意修改,可以发现很多测试物品,包括某些0元物品哦~~~

Snip20130116_10.png

修复方案:

不要相信任何用户的输入,所有的参数都要进行后台验证。
当然后台人工审核订单也是可以的。不过最好还是改一下吧~

版权声明:转载请注明来源 桔子@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-01-21 15:37

厂商回复:

最新状态:

2013-01-21:我晕,这次漏洞怎么乌云没提醒啊。变成自动忽略了。感谢挖掘,实在不是故意忽略的,分以后补如何?

漏洞评价:

评论

  1. 2013-01-16 15:42 | 0x00de ( 路人 | Rank:8 漏洞数:6 | 一个二逼,2到家了的小白。)

    求个盒子玩

  2. 2013-01-16 15:46 | 桔子 ( 路人 | Rank:4 漏洞数:4 | 一个小小的学生而已)

    哎呀忘了把隐私数据打码了。。。

  3. 2013-01-16 20:40 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @桔子 不存在,应该在公开前会修补的~

  4. 2013-01-17 10:10 | YKS ( 路人 | Rank:19 漏洞数:8 | 无)

    会验证付款金额的,没付清会是待补款状态

  5. 2013-01-17 13:14 | 桔子 ( 路人 | Rank:4 漏洞数:4 | 一个小小的学生而已)

    @小胖子 什么不存在???

  6. 2013-01-17 13:14 | 桔子 ( 路人 | Rank:4 漏洞数:4 | 一个小小的学生而已)

    @YKS 这个肯定不会直接发货的。但是总是感觉很不好啊~~~

  7. 2013-01-21 17:57 | 桔子 ( 路人 | Rank:4 漏洞数:4 | 一个小小的学生而已)

    = =|||2013-01-21: 厂商已经主动忽略漏洞,细节向公众公开算了~分无所谓了~给个盒子玩玩吧~哈哈~PS:据我所知很多人都在今天开卖之前付款下了订单了。。。