漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0127684
漏洞标题:美乐乐官网支付漏洞任意元购买(附1分钱买3万豪门家具案列)
相关厂商:meilele.com
漏洞作者: 牛 小 帅
提交时间:2015-07-20 11:41
修复时间:2015-09-03 12:06
公开时间:2015-09-03 12:06
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-07-20: 细节已通知厂商并且等待厂商处理中
2015-07-20: 厂商已经确认,细节仅向厂商公开
2015-07-30: 细节向核心白帽子及相关领域专家公开
2015-08-09: 细节向普通白帽子公开
2015-08-19: 细节向实习白帽子公开
2015-09-03: 细节向公众公开
简要描述:
美乐乐呀
美滋滋
啥家具啥品牌我都不要
我就要美乐乐
1分钱便宜(奸笑)
详细说明:
首先来首页
注册帐号
看家具去了 呆了 好贵3万
![@MFO3E06]F(3D8T}2`4}BKM.png](https://w.hundan.org/articles/attach/201507/1915114700b251a542a97d64c636dd09aabece64.png)
加入购物车结算
提交订单都没没什么发现
直到最后付款哈哈 机智的我 抓包
![)OAA80HPR3]ZHF8{WIGBO)C.png](https://w.hundan.org/articles/attach/201507/191514001f54693efc7fb7e416c403746d7603f8.png)
下面是银行卡付款案列,改的小数点(2.77)
![[VWEZ3_@]%Y(E_EF1~BD{7C.png](https://w.hundan.org/articles/attach/201507/191514177a89d74f0e280a48303e2277ac893604.png)
这里是0.1元支付宝付款
付款不用说 百分百成功
兜里有钱 咱不差一分钱
漏洞证明:
![)OAA80HPR3]ZHF8{WIGBO)C.png](https://w.hundan.org/articles/attach/201507/19151609b8ff93553372d0f165a609cf0dd86778.png)
修复方案:
波及波及波及
版权声明:转载请注明来源 牛 小 帅@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2015-07-20 12:05
厂商回复:
已在处理
最新状态:
暂无