漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0115952
漏洞标题:青品集某处逻辑错误可低价买零食
相关厂商:青品集
漏洞作者: only_admin
提交时间:2015-06-03 14:41
修复时间:2015-07-23 11:56
公开时间:2015-07-23 11:56
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(广东省信息安全测评中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-06-03: 细节已通知厂商并且等待厂商处理中
2015-06-08: 厂商已经确认,细节仅向厂商公开
2015-06-18: 细节向核心白帽子及相关领域专家公开
2015-06-28: 细节向普通白帽子公开
2015-07-08: 细节向实习白帽子公开
2015-07-23: 细节向公众公开
简要描述:
青品集是一家精品零食特卖网站,主要商品类型是针对青年消费者喜爱的进口高端零食。青品集关注零食品牌的安全、口感、品牌力量,力求为用户挑选最可靠的零食。青品集努力创造一个崭新的电商平台,为所有喜爱零食的消费者提供最具吸引力的零食商品
青,即有想法有个性有理想优秀的青年。青品集以人为本,尊重人,相信人,发展人,已吸引了一批业内资深精英加盟。公司也培养了自己专业而成熟的团队,一群朝气蓬勃、满怀斗志的年轻人在这找到了施展才华的舞台。青品集将长期招募各类优秀人才以保证公司的运营与发展。
详细说明:
从百度贴吧进来青品集的
发现百度搜索也有你们的广告!好有钱!
随便选样东西
加入购物车时拦截包
修改为负值
来购物车看看,金额也成负值了
随便找点东西,凑下
我用了你们给的优惠券,其实不用也可以,金额少10元就行。
PS:在购物车的时候要记得凑成-10元以上,加上10元运费刚好。试过一次负值,订单有了,但支付失败
OK
可以支付
还是学生,没钱付,不测试了,但只要发货没有人工审核(可能吗?人工那么贵)应该就行。
漏洞证明:
OK
可以支付
之前提到过,试过一次负值,所以支付失败。
然后我取消订单,订单是取消了,可...优惠券为什么不还我!!!
修复方案:
大佬给点礼物可否?
你们那么有钱!
不给礼物不是好厂商!
给点礼物可否!!!
版权声明:转载请注明来源 only_admin@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2015-06-08 11:55
厂商回复:
非常感谢您的报告。
报告中的问题已确认并复现.
影响的数据:高
攻击成本:低
造成影响:高
综合评级为:高,rank:11
正在联系相关网站管理单位处置。
最新状态:
暂无