当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-018442

漏洞标题:寺库中国支付问题不知道能不能成为高富帅

相关厂商:寺库中国

漏洞作者: 小胖胖要减肥

提交时间:2013-02-06 09:36

修复时间:2013-03-23 09:36

公开时间:2013-03-23 09:36

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-02-06: 细节已通知厂商并且等待厂商处理中
2013-02-06: 厂商已经确认,细节仅向厂商公开
2013-02-16: 细节向核心白帽子及相关领域专家公开
2013-02-26: 细节向普通白帽子公开
2013-03-08: 细节向实习白帽子公开
2013-03-23: 细节向公众公开

简要描述:

寺库中国支付问题不知道能不能成为高富帅,东西可都是奢侈品啊,苹果跟这些比的话就是穷矮搓,土肥圆用的了

详细说明:

问题所在好像所有支付都没做签名校验吧,我试的招商和交通银行的都没有做签名校验,
充值的话没有问题,改了多少实际冲多少网站显示多少,但订单支付会有问题,发不发货就不知道了
订单22000,好贵啊

sk11.jpg


漏洞证明:

进行支付,选择支付方式,修改订单金额

sk12.jpg


查看需要支付的金额

sk13.jpg

修复方案:

1 增加没个订单的已支付金额项,如果需要支付金额和实际支付金额不同则自动为异常订单
2 每种支付方式按照官方文档进行签名校验,并和官方人员进行联测
如果修改订单后会进行发货的话可以送个小礼物

版权声明:转载请注明来源 小胖胖要减肥@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2013-02-06 10:18

厂商回复:

非常感谢

最新状态:

暂无

漏洞评价:

评论

  1. 2013-02-06 09:44 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:143 | 心在,梦在)

    这是传说中的秒过么?

  2. 2013-02-06 09:47 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @带馅儿馒头 基友是不是大号进黑名单了啊

  3. 2013-02-06 10:11 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:143 | 心在,梦在)

    @小胖胖要减肥 我就是大号,跟各位大婶学习已久,,,

  4. 2013-02-06 12:33 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @小胖胖要减肥 你又能秒过了?

  5. 2013-02-06 13:11 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @se55i0n 对 你小号应该也可以

  6. 2013-02-06 13:12 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @小胖胖要减肥 擦,哥还是所有洞子都要审核,,,过完年申请个马甲哟,估计进了黑名单咯,,

  7. 2013-03-23 11:27 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    洞主,大牛……有礼物吗

  8. 2013-03-23 11:31 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @wefgod 没有

  9. 2013-03-23 11:32 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @小胖胖要减肥 可惜@!