金融安全之某大型购物商城瞬间刷1亿积分兑换礼品（已成功）

随便注册一个账号，来到积分购页面

点击任意礼品进去兑换

一直下一步到支付前的页面：

抓包修改buynum参数为-50000（1亿积分做演示，证明其影响危害性）

提交后即可购买成功，这时查看自己的积分中心：1亿4000万积分到手

可以正常使用兑换：

我如果开个淘宝店卖积分呢？

尽快修复

厂商回应：

危害等级：低

漏洞Rank：1

确认时间：2015-07-2411:50

厂商回复：

谢谢，修改完成

最新状态：

暂无

1. 2010-01-01 00:00 牛 小 帅 白帽子 | Rank:407 漏洞数:34)

   瞬间土豪

2. 2010-01-01 00:00 prolog 白帽子 | Rank:518 漏洞数:59)

   瞬间进局子

3. 2010-01-01 00:00 http://www.wooyun.org/corps/奥康国际电子商务有限公司 白帽子 | Rank:0 漏洞数:0)

   虽然订单后端需要人工审核。但确实存在对客户端COOKIE的把关不严，已连夜修复，谢谢！

4. 2010-01-01 00:00 黑暗游侠 白帽子 | Rank:1058 漏洞数:93)

   @奥康国际电子商务有限公司 你们连要么。1rank，你怎么不忽略呢？积分可以抽奖，可以兑换你知道么？

5. 2010-01-01 00:00 黑暗游侠 白帽子 | Rank:1058 漏洞数:93)

   @奥康国际电子商务有限公司 没见过这样的。1rank、你还是忽略好了，丢人

6. 2010-01-01 00:00 http://www.wooyun.org/corps/奥康国际电子商务有限公司 白帽子 | Rank:0 漏洞数:0)

   @黑暗游侠 同等类型漏洞发布，另一个已经给过5RANK。
   我不清楚RANK在乌去的用处。我们会有另外礼物赠送，不知道是发布者是否满意.

7. 2010-01-01 00:00 http://www.wooyun.org/corps/奥康国际电子商务有限公司 白帽子 | Rank:0 漏洞数:0)

   @黑暗游侠 十分抱歉，因为确实不清楚RANK对于一个白帽子来说在乌云的重要性。可能没有准确的把握给出的RANK值，表示抱歉。后期将会整理出来给于相应的礼物作为感谢。谢谢

8. 2010-01-01 00:00 prolog 白帽子 | Rank:518 漏洞数:59)

   @奥康国际电子商务有限公司 发布者已经哭晕在厕所，医生说已经没得救了

9. 2010-01-01 00:00 黑暗游侠 白帽子 | Rank:1058 漏洞数:93)

   @奥康国际电子商务有限公司 好的，没有关系，你不了解rank才这样没事的，后期期待你们的礼物

10. 2010-01-01 00:00 Soulmk 白帽子 | Rank:20 漏洞数:1)

    这等级还算低的啊~~醉了

11. 2010-01-01 00:00 伟哥 白帽子 | Rank:61 漏洞数:6)

    看成 rank有鸟用。。。。。。

12. 2010-01-01 00:00 BadCat 白帽子 | Rank:50 漏洞数:6)

    @黑暗游侠 WooYun: 奥康集团内网可被漫游