当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0113613

漏洞标题:美囤妈妈支付漏洞(2处)

相关厂商:美囤妈妈

漏洞作者: harbour_bin

提交时间:2015-05-12 16:37

修复时间:2015-06-26 17:06

公开时间:2015-06-26 17:06

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:8

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-12: 细节已通知厂商并且等待厂商处理中
2015-05-12: 厂商已经确认,细节仅向厂商公开
2015-05-22: 细节向核心白帽子及相关领域专家公开
2015-06-01: 细节向普通白帽子公开
2015-06-11: 细节向实习白帽子公开
2015-06-26: 细节向公众公开

简要描述:

美囤妈妈某处支付漏洞

详细说明:

1、购物车中, 可以通过抓包, 将数量修改为0或者负数(这应该是不合理的吧);
2、确认订单时,总价格显示为负数;
3、但确定订单去支付的时候,会验证.所以只能感觉是设计上有缺陷,毕竟看到负数是不应该的
上图:

支付.png


确认订单.png


还有一处:
提交完订单之后,按浏览器的返回键,购物车的货物消失.

1.png


2.png


3.png

漏洞证明:

同上!

修复方案:

你们更专业!

版权声明:转载请注明来源 harbour_bin@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2015-05-12 17:05

厂商回复:

问题确实存在,感谢你的关注!请继续关注!

最新状态:

暂无


漏洞评价:

评论

  1. 2015-05-12 17:11 | harbour_bin ( 普通白帽子 | Rank:358 漏洞数:47 | 向TOP200进军!)

    这rank给的,蛋疼,最终rank为1,还不如一个政府网站==||, 以后不挖了

  2. 2015-05-12 17:18 | 美囤妈妈(乌云厂商)

    wooyun的rank算法我表示不懂

  3. 2015-05-12 17:18 | 美囤妈妈(乌云厂商)

    少年继续努力,我看好你哦

  4. 2015-05-12 17:47 | 外星人 ( 普通白帽子 | Rank:650 漏洞数:139 )

    @美囤妈妈 小厂商,5比1, 你给的太低了,你给20,也才4.

  5. 2015-05-12 17:56 | harbour_bin ( 普通白帽子 | Rank:358 漏洞数:47 | 向TOP200进军!)

    @美囤妈妈 所以你认定为低微漏洞的话,我只能拿到1.额,1...