当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0125901

漏洞标题:p2p金融安全之安捷财富礼品任意兑

相关厂商:安捷财富

漏洞作者: DloveJ

提交时间:2015-07-10 18:30

修复时间:2015-08-24 18:32

公开时间:2015-08-24 18:32

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:14

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-10: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-08-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

p2p金融安全之安捷财富礼品任意兑

详细说明:

www.haoinvest.com

注册登录

1.jpg


豆豆商城

2.jpg


选择一个礼品兑换!我选的是10的花费,当然你也可以选择ipone6.

3.jpg


4.jpg


友情提示:商品一经兑换,将不可取消,请认真核实您要兑换的礼品,及填写的收货地址等,如有疑问请联系我们


不知道场上看见了,会不会不给我话费。~~~~(>_<)~~~~
点击立即兑换,抓包!

5.jpg


将对应的价格改为负值或者直接改为0!

6.jpg


哇塞,兑换成功!
同时我们发现我的痘痘也多了相应的数量,这样下次就可以直接买了!>>@@<<

7.jpg

漏洞证明:

我就想问下厂商这是真的么?

8.jpg

我也想要啊>>>>@@@@@<<<<

修复方案:

版权声明:转载请注明来源 DloveJ@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝