欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

又拍图片管家支付非法充值的漏洞分析及修复方法(图)

程序员文章站 2022-07-03 10:05:48
发现又拍图片管家的一个漏洞,可以非法充值... 12-06-16...
又拍网旗下又拍图片管家v.yupoo.com在对支付进行处理时,未使用ssl安全连接,也没有对购买时间进行限制。
导致当购买时间为负数时,不但不会从帐户中扣除相应的金额,反而还会对帐户进行充值。
  
这里以续费vip服务为例,其他支付服务麻烦厂商自检。
====================================================
选定续费的时候后,点击提交,使用fiddler拦截发送的数据
 

又拍图片管家支付非法充值的漏洞分析及修复方法(图)

 
我们可以看到,其中的renewals_period中包括了我们续费的时间,我们将其修改为负数,run
 
 又拍图片管家支付非法充值的漏洞分析及修复方法(图)
 
然后发现,神奇的事情来了。总共: ¥-15,840.00。确定支付!
 
 
 又拍图片管家支付非法充值的漏洞分析及修复方法(图)
然后会返回首页~
使用期限:2012-05-02 至1923-05-02 (有功能的,vip功能可用)
您的账户余额: ¥16,020.00 (原先有180)
 
 又拍图片管家支付非法充值的漏洞分析及修复方法(图)
 
 
修复方案:

使用ssl进行对支付页面的加密
限制购买时间的大小,设定最小值和最大值

作者 imlonghao