漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-015798
漏洞标题:京东商城低价货品免运费漏洞
相关厂商:京东商城
漏洞作者: 路人A
提交时间:2012-12-09 13:22
修复时间:2012-12-12 09:27
公开时间:2012-12-12 09:27
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:15
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-12-09: 细节已通知厂商并且等待厂商处理中
2012-12-12: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
在京东商城购买商品是这样的收运费规定:单件或者多件商品合起来购买大于40元是免运费,如果不是就需要收取5元运费。通过一些特殊的购买方式,就算需要运费的购买也可以变免运费。
详细说明:
这种思路源于我在购买一本书大概20元,按正常的流程如果单是这样购买需要加到5元的运费。后边我又购买多一本书大概30元。这样一共50元就可以免运费。后边30元的书在我这边地区是缺货的,我选择优先发货原则。第一天哪天20元的书本是到了,我直接支付20元出来;第二天30元的书本才到。
这样看近的书本先到可以体验京东送货速度快,这里有个逻辑问题:如果还是我单是购买20元的书本,然后在网上取消或者在现实拒收30元的书本。 我购买20元的书本就成了免运费。这个漏洞可大可少,小就是对网站不像注入漏洞哪样会影响整个网站的数据,交易安全性;大就是如果其他人也这样利用会造成送商品的支付提高,想如果一个单是10元的货品,本来5元的运费就不高,还要免费。长期下去影响还是满大的。希望重视下。
漏洞证明:
选择任意目的一件低于30元在本地有的商品-----再另选一件不需要的在本地区缺省商品-------在下订单的时候注意选择优先发货原则。
收取目的商品之后-----在网上取消或者现实拒收不需要货品。
修复方案:
建议建立完善积分奖罚机制,一些商品到之后拒收就需要支持减少积花。一些积花可以对换等。你比我懂的
版权声明:转载请注明来源 路人A@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-12-12 09:27
厂商回复:
非常感谢您对京东商城的关注!
最新状态:
暂无