当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-073454

漏洞标题:MallBuilder商城系统漏洞大礼包#4 订单不走支付平台即可付款

相关厂商:MallBuilder

漏洞作者: 飞黎

提交时间:2014-08-25 14:21

修复时间:2014-11-23 14:22

公开时间:2014-11-23 14:22

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:18

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-08-25: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-11-23: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

无论通过什么方式下的订单,无论订单价格的多少,支付时直接无视支付平台,瞬间支付

详细说明:

一个越权引发的血案,越权地址从正常支付的订单里抓来的,利用过程如下:
http://democn.mall-builder.com test test
这是官方的测试账号,账号本身也是卖家账号,需要先在右上角手动切换到买家中心
为了方便,就不新下订单了,直接挑一个原有的旧订单:
http://democn.mall-builder.com/main.php?m=product&s=admin_orderdetail&id=201408221129296

1.JPG


现在是未付款状态,抓下订单号:201408221129296
访问:
http://democn.mall-builder.com/api/order.php?id=201408221129296&type=预存款支付&order_id=201408221129296&price=598&extra_param=&statu=1&auth=27a2824875956f6d6e268a992ad3f8c4
各参数对应订单号和价格,最后的auth无视,直接打开,奇迹出现了:

2.JPG


“付款”成功,订单变为未发货状态
再去mallbuilder自带的支付平台上看一下:
在买家中心的首页偏右上角有链接“网付宝”,前台也有链接
http://democn.mall-builder.com/pay/

4.JPG


没有支出记录,免费支付订单~

漏洞证明:

1.JPG


2.JPG


4.JPG

修复方案:

把那个api接口限制一下,auth是干嘛的。。。。好歹也把返回信息签个名啊....

版权声明:转载请注明来源 飞黎@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论