当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0136266

漏洞标题:新英体育传媒某处存在逻辑设计缺陷漏洞

相关厂商:北京新英体育传媒有限公司

漏洞作者: userlxx

提交时间:2015-08-24 10:31

修复时间:2015-10-08 10:32

公开时间:2015-10-08 10:32

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-08: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

我是一个伪球迷~ 英超车迷
但是,英超是收费的,对于屌丝来说付款看比赛难免心痛
于是乎就想到旁门左道免费看英超~~~
新英体育还真是慷慨,各种0.01元看比赛、季票都可以有~

详细说明:

(1) 注册“新英体育”账号
(2) 登录下单(我是车迷,买了场切尔西 vs 西布朗!该漏洞以“阿森纳 vs 利物浦”为例,原因你懂的,不能重复下单哈~)

阿森纳vs利物浦.png


(3) 提交订单。正常情况会跳转到支付宝支付,价格则是5.99元,这不是我们希望的!
我们进入到用户订单中心,查看订单。

未付款订单.PNG


(4) 点击“立即支付”,会发现请求以GET的方式发送的,5.99赫然在目。

GET请求.png


(5) 如此赤裸裸,那么我们复制URL把5.99改成0.01,再提交。页面来到了0.01的支付宝页面~

0.01元请求.png


0.01支付页面.PNG


(6) 最后一步了!只要支付宝扫一扫就OK啦~
到这里的时候我心里是忐忑的,怕被查水表。踌躇犹豫了1分钟,最后还是拿手机邪恶的扫了扫~

0.01元看英超-付款完.PNG


订单列表.PNG


漏洞证明:

0.01元看英超-付款完.PNG

修复方案:

用户输入是不能相信的,有猥琐的用户滴~ 后台参数校验!
俺们是诚实的孩子,只支付了一场比赛,至于全月通、全季通、死忠通都没有动!
伟大善良的新英体育送我一个死忠通,何如?! ^_^

版权声明:转载请注明来源 userlxx@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝