漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-011796
漏洞标题:揭秘国内一大型竞拍网站内幕交易、暗箱操作
相关厂商:某竞拍网站
漏洞作者: clzzy
提交时间:2012-09-06 10:10
修复时间:2012-09-06 10:10
公开时间:2012-09-06 10:10
漏洞类型:内部绝密信息泄漏
危害等级:高
自评Rank:15
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-09-06: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-09-06: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
揭秘国内一大型竞拍网站http://www.yxxpai.com/的内幕交易、暗箱操作
详细说明:
本文重点不在网站,也不在网站的漏洞,而在于竞拍这个行业的内幕。虽然大家都知道有机器人的存在,那为什么还是有那么多人还去注册,去竞拍呢?是因为他们没看到实实在在的证据!提供证据就是本文提交的目的!
漏洞证明:
网站概览:
数据库结构:
会员数(20几万):
下图我通过注册一个账户并用update修改值证明了Tb_user表中的Point1是拍点,Point2是返点:
虽然SQLmap把我这句update返回了False,但实际上是成功执行了的。
我选了些商品,用成交者的名字去数据库查询Point1的数值,竞拍机器人出场:
尼玛,看到没有,这几个商品的成交者的拍点都是9个多亿~~意味着充值了900多万呢~~很明显,这是机器人。
那有多少机器人呢?我用一个SELECET查询了有100万以上拍点的会员数量,结果见下图:
从上面看到,拍点在100万以上的用户有3500多人~~尼玛,机器人这么多?亲,你拍得过机器人么?而且还这么多机器人!
看着网站的《公平承诺》就觉得好笑~~如同蒙牛、伊利一样烂,中国有良心的企业没几个,都是为了挣钱不择手段,坑蒙拐骗偷!
修复方案:
已通知客户
版权声明:转载请注明来源 clzzy@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:20 (WooYun评价)