当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0143374

漏洞标题:jiasale电商支付系统重要漏洞,卖家损失巨大

相关厂商:北京派道网络科技有限责任公司

漏洞作者: 路人甲

提交时间:2015-10-16 12:38

修复时间:2015-11-30 12:40

公开时间:2015-11-30 12:40

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-16: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-11-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

jiasale电商购物按钮重大漏洞,支付环节重要漏洞,泄露卖家产品核心信息。不需花钱,购买所有产品。

详细说明:

1、在含有jiasale的网站,购买商品下订单
2、记录订单号
3、登录任意一个jiasale网站账户,通过特殊链接可以随意的更改价格,完成支付。比如把999元的改成0.01元
4、如果是自动发卡的,自动发货的,可以直接受到商品。
5、不管是商业用户,还是普通用户,都收到此影响。

漏洞证明:

1、下订单后,记录订单号,比如7998
2、访问http://shop.jiasale.com/jiasale/order/order_money_modify.jsp?order_id=7998&site_id=2950
这里的7998是订单号, 2950是店铺号。这个是我测试的一个。
有朋友问怎么得到店铺号,jiasale的店铺号都是4位数字,随便跑一下看返回的信息就知道了。
3、然后改成我们需要的价格。

1.jpg


4、修改成功

2.jpg


5、接着上面的支付步骤付款,发现金额变成了我们修改后的金额

3.jpg


6、然后就收到了卡密。
为了让大家测试,重现漏洞,我提供一个官方的代码。自行在本地做一个页面测试。

<div id="pdBuy"  class="PDB2C_moban_warp"><img src="http://code.jiasale.com/pdbs/images/init_wait.gif"></div>
<script type="text/javascript" id="pdB2C_js"></script>
<script type="text/javascript" id="pdB2C_shell_js" src="http://code.jiasale.com/shoptemplet/36aff1649fad407e91907cd2734dba38/t25101.js"></script>


修复方案:

店家号码更复杂点。
组号还是更改验证机制。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝