漏洞概要
关注数(24)
关注此漏洞
漏洞标题:来伊份支付漏洞
提交时间:2015-05-13 10:07
修复时间:2015-05-18 10:08
公开时间:2015-05-18 10:08
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2015-05-13: 细节已通知厂商并且等待厂商处理中
2015-05-18: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
感觉可以把来伊份的零食都买来吃吃吃
详细说明:
会发现这个是因为我习惯性抓包
首先我们看到我的帐号里是没有余额的
然后我们点进充值
这里看到不多说了,最多充3000那我充个300吧
此处使用burp抓包
这里的amount应该是提交服务器的充值金额,改了就不用玩了,截获它的返回值
圈起来的地方改成0.01
一路run下去,成功跳出支付框
支付成功
回到主页面余额成功增加!!!
下两袋鸭肫试试
进入结算界面选择悠点卡支付
可以看到余额
完美下单完美扣除余额。完毕
新人求邀请码,求rank,求礼物,求鸭肫。。。。。。
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-05-18 10:08
厂商回复:
漏洞Rank:4 (WooYun评价)
最新状态:
暂无
漏洞评价:
评论
-
2015-05-20 11:10 |
黑黑 ( 路人 | Rank:17 漏洞数:2 | 现在的一片天,是肮脏的一片天。)
-
2015-08-10 15:09 |
十月 ( 路人 | Rank:12 漏洞数:1 | 小人物)
http://news.163.com/15/0809/16/B0JCKU5E00014JB6.html7月初,总部位于松江区九亭镇的沪上某著名休闲食品公司发现了一件蹊跷事。。。,然后发现之前给主动忽略了这次有影响了吧?不忽略了吧?信息安全第一条:端正态度
-
2015-08-10 17:09 |
BMa ( 普通白帽子 | Rank:1776 漏洞数:200 )
-
2015-08-10 17:14 |
px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)
-
2015-08-10 19:14 |
十月 ( 路人 | Rank:12 漏洞数:1 | 小人物)
-
2015-08-12 23:47 |
乌云首席鉴黄师 ( 普通白帽子 | Rank:121 漏洞数:45 | 妈妈,我要上电视)
天津一男子自学了黑客技术后,攻击了沪上一知名食品公司的服务器,成功将充值的四角钱倍增成6万元。日前,松江警方破获这起破坏计算机信息系统的案件,抓获犯罪嫌疑人苏某。忽略啊!继续忽略啊!也就是这小子不会玩,会玩的,重置60W你也不知道是谁干的!呵呵!垃圾厂商!
-
2015-08-13 17:23 |
Airbasic ( 实习白帽子 | Rank:33 漏洞数:8 | 不要向我EMAIL发邮件,地址已失效!)
-
2015-08-14 13:38 |
黑名单 ( 实习白帽子 | Rank:60 漏洞数:13 | 像个傻瓜似的,为什么。)
-
2015-08-15 09:13 |
毛利小五郎 ( 路人 | Rank:4 漏洞数:3 | “这个站被挂黑页,其实很简单。凶手采用了...)
你倒是忽略呀,你倒是忽略呀(脑补滑稽表情)btw:六万元全部买零食了?
-
2015-08-16 08:13 |
梦半醒 ( 路人 | Rank:15 漏洞数:2 | Computer is all my life.)
-
2015-08-16 13:32 |
Annabelle ( 实习白帽子 | Rank:46 漏洞数:15 | .)
-
2015-08-16 15:07 |
Windy ( 路人 | Rank:26 漏洞数:10 | 苦逼的民工)
-
2015-08-16 18:16 |
然后呢先森 ( 路人 | 还没有发布任何漏洞 | undefined)
-
2015-08-19 00:08 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)
-
2015-08-27 19:39 |
天天向上 ( 路人 | Rank:5 漏洞数:4 | 挖挖更健康)
-
2015-09-09 10:10 |
十月 ( 路人 | Rank:12 漏洞数:1 | 小人物)
http://wooyun.org/bugs/wooyun-2010-0137462无影响厂商忽略这是要逆天而行
