漏洞概要
关注数(24)
关注此漏洞
漏洞标题:翼支付某功能设计不当(可影响他人账户资金安全)
漏洞作者: 蜉蝣
提交时间:2015-01-07 19:06
修复时间:2015-02-21 19:08
公开时间:2015-02-21 19:08
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-01-07: 细节已通知厂商并且等待厂商处理中
2015-01-08: 厂商已经确认,细节仅向厂商公开
2015-01-18: 细节向核心白帽子及相关领域专家公开
2015-01-28: 细节向普通白帽子公开
2015-02-07: 细节向实习白帽子公开
2015-02-21: 细节向公众公开
简要描述:
给个20好不好呢?强烈推荐去做个乌云众测,漏洞狠多
翼支付设计不当可窃取他人账户资金
详细说明:
转账给其他人时,登陆的账号是用户甲,修改甲转账时候的POST包,改成如下 乙转给甲1.8元,生成交易单号
付款时候,依旧修改POST包,加上用户乙的支付密码,成功在不登陆用户乙的情况下,从乙账户里偷走1.8元
漏洞证明:
仅测试转账,其他还有几处存在平行权限越权。
修复方案:
版权声明:转载请注明来源 蜉蝣@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2015-01-08 09:59
厂商回复:
感谢 蜉蝣 白帽子的辛苦检测,经验证后该问题确实存在,由于他人账户资金仍受支付密码保护,故给Rank 15。目前已准备申请奖励,再次感谢 蜉蝣 !!!
最新状态:
暂无
漏洞评价:
评论
-
2015-01-08 00:19 |
CplusHua ( 普通白帽子 | Rank:238 漏洞数:33 | 乌云奖金:-1)
-
2015-01-08 09:00 |
孩子不哭站着撸 ( 路人 | Rank:22 漏洞数:3 | 左手撸站,右手撸管)
-
2015-01-28 13:36 |
luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)
-
2015-01-29 10:44 |
BMa ( 普通白帽子 | Rank:1776 漏洞数:200 )