当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-011796

漏洞标题:揭秘国内一大型竞拍网站内幕交易、暗箱操作

相关厂商:某竞拍网站

漏洞作者: clzzy

提交时间:2012-09-06 10:10

修复时间:2012-09-06 10:10

公开时间:2012-09-06 10:10

漏洞类型:内部绝密信息泄漏

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-09-06: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-09-06: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

揭秘国内一大型竞拍网站http://www.yxxpai.com/的内幕交易、暗箱操作

详细说明:

本文重点不在网站,也不在网站的漏洞,而在于竞拍这个行业的内幕。虽然大家都知道有机器人的存在,那为什么还是有那么多人还去注册,去竞拍呢?是因为他们没看到实实在在的证据!提供证据就是本文提交的目的!

漏洞证明:

网站概览:


数据库结构:


会员数(20几万):


下图我通过注册一个账户并用update修改值证明了Tb_user表中的Point1是拍点,Point2是返点:


虽然SQLmap把我这句update返回了False,但实际上是成功执行了的。
我选了些商品,用成交者的名字去数据库查询Point1的数值,竞拍机器人出场:




尼玛,看到没有,这几个商品的成交者的拍点都是9个多亿~~意味着充值了900多万呢~~很明显,这是机器人。
那有多少机器人呢?我用一个SELECET查询了有100万以上拍点的会员数量,结果见下图:


从上面看到,拍点在100万以上的用户有3500多人~~尼玛,机器人这么多?亲,你拍得过机器人么?而且还这么多机器人!


看着网站的《公平承诺》就觉得好笑~~如同蒙牛、伊利一样烂,中国有良心的企业没几个,都是为了挣钱不择手段,坑蒙拐骗偷!

修复方案:

已通知客户

版权声明:转载请注明来源 clzzy@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:20 (WooYun评价)