苏宁易购某站支付逻辑漏洞

07.4W+0
华盟原创文章投稿奖励计划

  问题出在购卡页面,通过提交订单抓包修改金额,可成功修改

  就随便找个卡吧:http://cart.suning.com/emall/GiftCardDisplayView?storeId=10052&catalogId=10051&100=0&500=0&1000=0&other=1&otherPrice=200&amount=200

苏宁易购某站支付逻辑漏洞

  ok,进行抓包,修改金额!

以下是代码片段:quantity_2=0&cardValue=200在这里修改金额

   返回

苏宁易购某站支付逻辑漏洞

   由于我没有开网银,就不付款了!

苏宁易购某站支付逻辑漏洞

  漏洞证明:

  问题出在购卡页面,通过提交订单抓包修改金额,可成功修改

  就随便找个卡吧:http://cart.suning.com/emall/GiftCardDisplayView?storeId=10052&catalogId=10051&100=0&500=0&1000=0&other=1&otherPrice=200&amount=200

 

苏宁易购某站支付逻辑漏洞

   ok,进行抓包,修改金额!

以下是代码片段:quantity_2=0&cardValue=200在这里修改金额

  返回

苏宁易购某站支付逻辑漏洞

 

 

 

  由于我没有开网银,就不付款了!

苏宁易购某站支付逻辑漏洞

  修复方案:

  加权限,验证!

 

原文地址:https://hack.77169.com/201509/210143.shtm

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
安全资讯最新资讯黑客技术
喜欢就支持一下吧
点赞0 分享
guaigou的头像-华盟网
HW在即,今日分享|常用的渗透测试工具及相关资料整理,查收!-华盟网
HW在即,今日分享|常用的渗透测试工具及相关资料整理,查收!
HW在即,今日分享|常用的渗透测试工具及相关资料整理,查收!
2年前 29.1W+
重磅|华盟HW工程师招募-华盟网
重磅|华盟HW工程师招募
重磅|华盟HW工程师招募
4年前 27.4W+
最难就业季|“本想先读书躲一躲,谁料行情还不如两年前”-华盟网
最难就业季|“本想先读书躲一躲,谁料行情还不如两年前”
最难就业季|“本想先读书躲一躲,谁料行情还不如两年前”
4年前 25.8W+
挖矿病毒“盯上”了 Docker 服务器-华盟网
挖矿病毒“盯上”了 Docker 服务器
挖矿病毒“盯上”了 Docker 服务器
4年前 24.1W+
让所有反病毒引擎都无法检测到的恶意软件出现了!-华盟网
让所有反病毒引擎都无法检测到的恶意软件出现了!
让所有反病毒引擎都无法检测到的恶意软件出现了!
4年前 23.8W+
功能太强大!网络犯罪论坛新成员Prynt Stealer无所不盗-华盟网
功能太强大!网络犯罪论坛新成员Prynt Stealer无所不盗
功能太强大!网络犯罪论坛新成员Prynt Stealer无所不盗
4年前 23.1W+
相关推荐
S时评:奥巴马时代的网络安全-华盟网
S时评:奥巴马时代的网络安全
S时评:奥巴马时代的网络安全
10年前 188W+
360推出Tuber可直接上油管的浏览器!-华盟网
360推出Tuber可直接上油管的浏览器!
360推出Tuber可直接上油管的浏览器!
6年前 75W+
2020薪资最高的行业前十位出炉!你选对了吗?-华盟网
2020薪资最高的行业前十位出炉!你选对了吗?
2020薪资最高的行业前十位出炉!你选对了吗?
6年前 56.6W+
原创干货 | 一次对某组织的应急响应-华盟网
原创干货 | 一次对某组织的应急响应
原创干货 | 一次对某组织的应急响应
6年前 49.6W+
黑鹰基地站长最新动态-华盟网
黑鹰基地站长最新动态
黑鹰基地站长最新动态
6年前 49.5W+
BlackHat 2018 | 10大网络安全热点趋势-华盟网
BlackHat 2018 | 10大网络安全热点趋势
BlackHat 2018 | 10大网络安全热点趋势
8年前 49.2W+
评论 抢沙发

请登录后发表评论

    暂无评论内容