当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-060356

漏洞标题:微博某业务40000多元的产品瞬间变1元支付(支付漏洞)

相关厂商:新浪微博

漏洞作者: Hxai11

提交时间:2014-05-12 14:15

修复时间:2014-06-26 14:15

公开时间:2014-06-26 14:15

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-12: 细节已通知厂商并且等待厂商处理中
2014-05-12: 厂商已经确认,细节仅向厂商公开
2014-05-22: 细节向核心白帽子及相关领域专家公开
2014-06-01: 细节向普通白帽子公开
2014-06-11: 细节向实习白帽子公开
2014-06-26: 细节向公众公开

简要描述:

1元钱买课程,超值的,不仅能便宜买课程还能增长知识

详细说明:

目标站点:http://ketang.weibo.com/
登陆之后我们来到首页选一门课程比如

QQ图片20140511201628.jpg


就选第二个吧。。
点击进去之后选择立即购买,看看价格 46900元 啊,好贵啊,能便宜点吗。。

QQ图片20140511201721.jpg


到这个页面了

QQ图片20140511202032.jpg


点击在线支付之后
会出现一个确认支付如图

QQ图片20140511202215.jpg


就在这里我们开始抓包吧
看看抓到的内容

QQ图片20140511202310.jpg


发现其实最后一项内容就是价格,我们改成1看看会怎么样

QQ图片20140511202324.jpg


之后提交
哈哈看到了吗,40000多元的课程变成了一元钱,超值啊

QQ图片20140511202451.jpg


剩下我们只需要用支付宝支付一下即可,由于身边没有支付宝,就不演示了。。

漏洞证明:

QQ图片20140511202451.jpg


扣费成功证明

1.jpg


购买成功证明

2.jpg

修复方案:

严格检查表单

版权声明:转载请注明来源 Hxai11@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2014-05-12 15:29

厂商回复:

感谢关注新浪安全,已经通知第三方进行处理

最新状态:

暂无