频道栏目
首页 > 安全 > 网站安全 > 正文

yodo建站系统设计不当可刷钱(本地演示)

2015-03-02 09:08:00         来源:路人甲  
收藏   我要投稿

DOYO通用建站系统采用PHP与MYSQL开发,是免费开源的CMS建站、企业建站系统,可广泛用于个人、企业、政府、机构等众多网站建设


官网地址:wdoyo.com

官方提供demo但数据不可以入库:http://demo.wdoyo.com/

所以只能本地演示了



本地搭建以后注册个会员,点击在线充值查看一下当前的余额(我这里之前刷的成了29.8)
 

1.png



接下来开始刷钱~先来到首页随便选一个商品
 

2.png



选好最后点击立刻购买
 

3.png



然后burp抓包,把数量改成-1(-10,-100甚至-1000都可以~)
 

4.png



之后查看价格已经变成了-593
 

5.png



这时候把信息都填好以后点击提交
 

6.png



支付以后再返回会员中心查看一下余额已经变成了622.80~
 

7.png

 

 

修复方案:

加强验证机制

相关TAG标签 刷钱 建站 系统
上一篇:UWA 2.X v2.1.5 多处储存型xss
下一篇:YYjiacms v3.0 sql 注入。(官网demo,可直接修改管理密码)
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站