漏洞概要
关注数(24)
关注此漏洞
漏洞标题:看我如何1元(其实可以更低)购买微拍VIP以及敏感支付key泄露(续)
相关厂商:微拍
提交时间:2015-04-13 15:31
修复时间:2015-05-28 15:42
公开时间:2015-05-28 15:42
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-04-13: 细节已通知厂商并且等待厂商处理中
2015-04-13: 厂商已经确认,细节仅向厂商公开
2015-04-23: 细节向核心白帽子及相关领域专家公开
2015-05-03: 细节向普通白帽子公开
2015-05-13: 细节向实习白帽子公开
2015-05-28: 细节向公众公开
简要描述:
为什么说漏洞修复了呢?明明就没有修复嘛。
详细说明:
漏洞证明:
1.模拟器安装app
2.点击vip,然后抓包
3.修改数据包,支付
本来想修改一下一年的,因为测试,所以后来还是修改的一个月的
4.支付
5.OK
6.看结果
结果还是开通了一个月的。
话说反编译了一下apk,结果发现很多内幕东东
比如微信api的key
比如支付宝的key
这些是不是应该保存在服务端的好点
而且发现程序很多都是写本地sqlite db的,比如刚才那个支付漏洞,那岂不是可以随便写?
sqlite最好加个密,完。
修复方案:
版权声明:转载请注明来源 纳米翡翠@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2015-04-13 15:41
厂商回复:
同一个问题,之前确实已经修复。由于漏洞修复后,相关操作人和后端开发团队没有及时沟通,今天上午开发团队在不知情的情况下部署了新代码,导致这部分的修复被新代码覆盖了。已经罚他们手写三万行代码。谢谢路人甲小伙伴,你可以不要匿名,我保证不打死你~
最新状态:
暂无
漏洞评价:
评论
-
2015-04-13 15:32 |
疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
-
2015-04-13 15:42 |
微拍(乌云厂商)
-
2015-04-13 15:42 |
’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)
-
2015-04-13 15:43 |
’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)
谢谢路人甲小伙伴,你可以不要匿名,我保证不打死你~
-
2015-04-13 15:46 |
’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)
@微拍 同一逻辑??何不公开?看下思路、揪出路人甲
-
2015-04-13 15:47 |
鸟云厂商 ( 核心白帽子 | Rank:1313 漏洞数:146 | 中国菜鸟)
-
2015-04-13 15:49 |
6um1n ( 路人 | Rank:14 漏洞数:4 | to be' or 'not to be' <> 'SQLInject)
-
2015-04-13 15:56 |
ganggang ( 路人 | Rank:4 漏洞数:2 | 这个号是来乌云聊天的....)
@微拍程序猿 手写三万行代码之后......请问,右手还能解决生理问题吗?咳咳.........................我说的是拿筷子吃饭..别想歪0.0
-
2015-04-13 15:57 |
孤独行者 ( 普通白帽子 | Rank:110 漏洞数:44 | 时光如水,总是无言。你若安好,便是晴天)
开发继续日了狗,这次,运维不仅打死了开发,还打死了洞主!
-
2015-04-13 16:25 |
JGHOOluwa ( 普通白帽子 | Rank:206 漏洞数:32 | 就是来看看大牛们如何超神的^-^)
谢谢路人甲小伙伴,你可以不要匿名,我保证不打死你~
-
2015-04-13 16:28 |
浩天 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)
企业安全绝对是动态的,而且还全是惊喜,你们这么帮助白帽子刷rank,不合适啊
-
2015-04-13 16:29 |
鸟云厂商 ( 核心白帽子 | Rank:1313 漏洞数:146 | 中国菜鸟)
-
2015-04-13 16:45 |
hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)
-
2015-05-04 17:30 |
_Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)
-
2015-05-09 20:48 |
萝董 ( 实习白帽子 | Rank:31 漏洞数:4 | 你们好,我是萝董~QQ:1104360187 ,光交各...)
-
2015-05-28 16:19 |
f4ckbaidu ( 普通白帽子 | Rank:182 漏洞数:23 | 开发真是日了狗了)
-
2015-05-28 16:36 |
sql小神 ( 路人 | Rank:19 漏洞数:4 | 有些漏洞可以提,有些漏洞不可以提。)
-
2015-05-28 17:58 |
tSt ( 路人 | Rank:27 漏洞数:7 | 在开发里运维最强,运维里网络最强,网络里...)
谢谢路人甲小伙伴,你可以不要匿名,我保证不打死你~
-
2015-05-29 14:21 |
Keen ( 路人 | Rank:2 漏洞数:1 | ...)
-
2015-05-30 10:46 |
pw0 ( 路人 | Rank:7 漏洞数:2 | 爱推理,爱计算机,爱社工,爱挖有(wei)...)
-
2015-07-12 11:33 |
兔小二 ( 路人 | Rank:0 漏洞数:1 | 奇怪的人类啊。)