漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-07471
漏洞标题:国美网上商城支付漏洞1元订购Iphone 4S!
相关厂商:国美控股集团
漏洞作者: 路人甲
提交时间:2012-05-25 15:22
修复时间:2012-05-30 15:23
公开时间:2012-05-30 15:23
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:15
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-05-25: 细节已通知厂商并且等待厂商处理中
2012-05-30: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
国美商城支付漏洞,千元商品1元即得!
详细说明:
我菜鸟一个,今天无意间看到国美商城搞的半价活动的广告才有幸进入国美商城。活动确实给力,但是额来的有点晚活动已经结束…… 闲逛中偶然发现这个漏洞。
下面说下漏洞测试过程:
选择商品:
我分别选了一个26元和一个27元的U盘。
然后我吧26这个U盘数量改成了 “-1” 结果商品总金额变成了1元。如图
接下我选择了,在线支付,通过支付宝付款1元。
然后奇迹就出现了。
PS:我看其他道友的有显示名字,我怎么没到注册账号的地方呢?
漏洞证明:
看来人工审核也是摆设。
订单顺利通过审核已经进入了拣货阶段。
2012-05-23 23:21:06您的订单正在拣货中。
我疑惑的是,若是真发货了,这个价格为26数量为-1的U盘订单,他怎么办? 难道还要问我要个U盘回去?!
订单在拣货中了……
我已联系客服取消了订单。
修复方案:
菜鸟一个,不会修复,你们应该能很快搞定。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-05-30 15:23
厂商回复:
最新状态:
暂无