频道栏目
首页 > 安全 > 网站安全 > 正文

买好网逻辑设计缺陷导致任意刷钱(可提现)

2013-05-01 13:22:15            作者:se55i0n
收藏   我要投稿
问题出在买好网的手机购物站点:http://m.17mh.com

 

一.任意刷钱,瞬间变身高帅富!

1)注册一个用户,登录该站点,开始shopping,看电脑久了皮粗肉糙的,买个精油吧,发现可以修改数量,直接修改成-1;

 

2)靠,还真能修改,而且是直接修改;

 

3)填好信息提交订单直接提交;

 

 

4)买好网本身支持账户充值,我们可以使用账户余额付款,我们购买了一个加个为负数的货物,so;

 

 

5)本来为0的账户,居然多了54块钱(因为还要支付快递5元),坑忙,我也来成高富帅咯,我来个最贵的,直接有好多要好多!

6)可直接提现,摇身一变糕富帅;

 

二.任意用户订单查询、取消(用户敏感信息哟)

通过以下链接地址可查询用户订单,变换参数id即可;

 

http://m.17mh.com/m.php?m=UserCenter&a=show_order&id=1234567

 

 

通过以下链接地址可取消用户订单,变换参数id即可;

http://www.17mh.com/index.php?m=UcOrder&a=del&id=1234567

 




 


上一篇:腾讯某处存储型XSS,且看我如何利用来定向劫持用户腾讯微博
下一篇:OPPO修改任意帐号密码
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站