纽曼官方商城一分钱刷1499元平板漏洞

漏洞概要

缺陷编号:WooYun-2013-017861

漏洞标题:纽曼官方商城一分钱刷1499元平板漏洞

相关厂商:纽曼电子

漏洞作者:Nicky

提交时间:2013-01-25 19:05

公开时间:2013-03-11 19:05

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2013-01-25: 细节已通知厂商并且等待厂商处理中
2013-01-28: 厂商已经确认,细节仅向厂商公开
2013-02-07: 细节向核心白帽子及相关领域专家公开
2013-02-17: 细节向普通白帽子公开
2013-02-27: 细节向实习白帽子公开
2013-03-11: 细节向公众公开

简要描述:

纽曼官方商城订单提交过程中验证不严格,可以一分钱买1499平板!

详细说明:

填写好订单信息后直接修改提交的数据中的money:

漏洞证明:

修复方案:

添加验证。

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-01-28 15:22

厂商回复:

感谢给与的支持

最新状态:

暂无

评价

  1. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    一般不发货的

  2. 2010-01-01 00:00 Nicky 白帽子 | Rank:400 漏洞数:47)

    ..知道 @xsser 还有两个洞。。怎么一直不审核

  3. 2010-01-01 00:00 imlonghao 白帽子 | Rank:703 漏洞数:73)

    发了你敢要吗?

  4. 2010-01-01 00:00 tpu01yzx 白帽子 | Rank:40 漏洞数:5)

    @imlonghao 同问,你敢要吗?……我替洞主回答了,一台的话敢要。填个临时地址就好。听说有个“分数线”什么的,金额没超过的话,对方只能当民事案件去法院告你。毕竟那些电商不是银行,不算金融机构。

  5. 2010-01-01 00:00 园长 白帽子 | Rank:124 漏洞数:14)

    楼主,那是一毛钱...............

  6. 2010-01-01 00:00 RootUser 白帽子 | Rank:20 漏洞数:4)

    纽曼你们刚说已经补了?为什么现在还是可以!!!

  7. 2010-01-01 00:00 Nicky 白帽子 | Rank:400 漏洞数:47)

    @RootUser ...这个么 发货前应该都会人工确认订单的,所以影响不大

  8. 2010-01-01 00:00 光的传人 白帽子 | Rank:5 漏洞数:2)

    @园长 他改的好像是一分~什么情况?

  9. 2010-01-01 00:00 园长 白帽子 | Rank:124 漏洞数:14)

    @光的传人 情况就是2B的程序员企图通过request的商品信息去完成支付,而不愿意写一个getGoodsById。偷懒是有代价滴。

  10. 2010-01-01 00:00 tpu01yzx 白帽子 | Rank:40 漏洞数:5)

    其实大家都说一分钱的发不出货。换个操作,不要改一分钱,比如100元的改成50元这个样子,就已经赚不少了,疯狂下单什么的,不解释。