漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0150972
漏洞标题:JiaSale购物两处严重设计逻辑错误漏洞打包
相关厂商:北京派道网络科技有限责任公司
漏洞作者: 世纪缘
提交时间:2015-11-07 12:44
修复时间:2015-12-22 12:46
公开时间:2015-12-22 12:46
漏洞类型:设计缺陷/逻辑错误
危害等级:低
自评Rank:5
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-11-07: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-12-22: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
JiaSale购物按钮可以让网站快速实现电子商务,只需要在网站中添加一段代码,就能轻松实现站中店,并为网站提供支撑、支付、管理一体化的电子商务SAAS平台。
详细说明:
重置用户密码
JiaSale购物按钮可以让网站快速实现电子商务,只需要在网站中添加一段代码,就能轻松实现站中店,并为网站提供支撑、支付、管理一体化的电子商务SAAS平台。
在官网输入你的注册的邮箱,进行找回密码。
进入邮箱,打开重置密码的连接。
审核元素修改你要重置密码的邮箱,我们这里就重置JiaSale官方的邮箱
提示重置密码成功,并登陆成功!
漏洞证明:
交易可一分钱购买商品
JiaSale 为那些具备品牌价值的企业主网站提供了一套全新的电商解决方案,网站主只需要在网站的产品介绍页面中嵌入一段经过配置的代码,即可在网站前端以Widget方式显现展示一个购物按钮,来方便访客实现产品的在线购买。网站主不用再繁琐的入驻第三方电商平台,也不用再费尽心思的推广,其官方网站其最好的电商渠道。JiaSale在做的是充分站好从用户看到商品到用户下单购买产品的最后一环节。
打开审核元素,修改价格为0.01
可用看到,价格已经显示0.01了
支付宝付款
收到购买成功的邮件
修复方案:
修Bug,找技术!
版权声明:转载请注明来源 世纪缘@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝