探討一下某團購網(wǎng)的漏洞
發(fā)布時(shí)間:2021-10-17 11:30
來(lái)源:博客園
閱讀:0
作者:V
欄目: 網(wǎng)絡(luò )安全
歡迎投稿:712375056
前言:
去年九月份同事在某團購網(wǎng)買(mǎi)了一份火鍋套餐���,后來(lái)幾乎每天都去購買(mǎi)�����。元旦期間�,該團購網(wǎng)推出了“VIP會(huì )員0元領(lǐng)紅包”活動(dòng)�����,領(lǐng)紅包誰(shuí)不喜歡����?因此我也參與了該活動(dòng)��。
于是果斷進(jìn)去注冊�,點(diǎn)擊購買(mǎi)��,進(jìn)入了購物車(chē)再點(diǎn)擊確認訂單��,恩����?怎么alert這么一句“本活動(dòng)只限VIP會(huì )員參與”����?我第一反應是去看頁(yè)面源代碼(由于該活動(dòng)已經(jīng)結束�,進(jìn)不去購買(mǎi)頁(yè)面了����,所以在這里我只好用偽代碼來(lái)表示):
//確認訂單按鈕的點(diǎn)擊事件function btn_click(){
ajax獲取當前用戶(hù)的類(lèi)型
如果不是VIP�����,alert("本活動(dòng)僅限VIP會(huì )員參與");
否則 form1.submit();
}然后我在地址欄敲入:javascript:form1.submit(); 回車(chē)�����! 進(jìn)入付款頁(yè)面了��,再點(diǎn)擊確定����,恩���?購買(mǎi)成功��!我獲得了5元紅包�!
太給力了?�。�?!我又新注冊一個(gè)賬號�,重復上面的步驟��,也成功獲得了5元紅包����。
馬上給客服留言說(shuō)明此BUG����,不過(guò)到今天還沒(méi)回復我�����,呵呵��。
這個(gè)漏洞的關(guān)鍵點(diǎn)是開(kāi)發(fā)人員忘記了在form1.submit()的后臺代碼中判斷當前用戶(hù)是否VIP會(huì )員����,只依賴(lài)于javascript的驗證���。
前臺的驗證頂啥用啊����,完全可以繞過(guò)去�,后臺的驗證才最重要?���?���!
有了上午的收獲���,1號晚上我就繼續找別的團購網(wǎng)的漏洞��,果然被我找到一個(gè)更嚴重的��。
該團購網(wǎng)也舉行了一個(gè)元旦抽獎砸金蛋活動(dòng)����,也是免費參與��,購買(mǎi)后發(fā)現得邀請好友參與活動(dòng)才有砸金蛋的機會(huì )��,邀請一個(gè)好友就多一個(gè)機會(huì )����,如圖:
我一點(diǎn)擊金蛋就alert一句“沒(méi)有抽獎機會(huì )了快去邀請好友吧�!”����,恩����,又是javascript���?看看代碼先:
這便是金蛋的點(diǎn)擊事件�,其中有一個(gè)用AJAX去訪(fǎng)問(wèn)的頁(yè)面lottery1.php����,而要傳過(guò)去的chance變量應該就是當前用戶(hù)擁有的砸蛋機會(huì )�����。
(學(xué)習視頻分享:)
我試著(zhù)直接訪(fǎng)問(wèn)lottery1.php?chance=1�,返回error字符串�,lottery1.php?chance=0也返回error,lottery1.php?chance=-1�,也
返回error��,難道沒(méi)效果么�����?我刷新了一下砸金蛋的頁(yè)面���,哇??���!
我傳了-1過(guò)去導致溢出了����?我試著(zhù)砸了幾個(gè)���,每次都成功獲得代金卷?���?��!太給力了�。接著(zhù)試著(zhù)用代金卷去下單�,也能成功減免掉幾塊錢(qián)����,
不過(guò)一張訂單只能用一個(gè)代金卷�����,呵呵(當然測試用的訂單我最后取消掉了�����,本人還沒(méi)那么邪惡���,哇咔咔)
馬上聯(lián)系客服�,居然下班了����,QQ不在線(xiàn)�,電話(huà)打不通����,只好留了個(gè)言�����。
接下來(lái)干嘛呢��?砸蛋唄����!42億的金蛋呢����,寫(xiě)了段JS自動(dòng)砸����!截止現在一共有3588個(gè)金蛋被砸開(kāi)���,其中至少有2000多個(gè)是我砸的��,哇咔咔
得到了一大堆的代金卷:
整整185頁(yè)��,呵呵����,蠻壯觀(guān)的?�。���?�!
到了2號�����,我重新查看該團購網(wǎng)的代碼時(shí)����,發(fā)現了一個(gè)更嚴重的問(wèn)題:
JS中有這么個(gè)方法
乍一看是跟錢(qián)有關(guān)的吧�,傳入用戶(hù)ID和錢(qián)的數目�,試試有什么效果��。
用戶(hù)ID怎么獲得呢�?別急���,頁(yè)面上有:
這個(gè)96204就是我當前帳戶(hù)的ID了����,訪(fǎng)問(wèn)了一下�,返回“線(xiàn)下充值成功”���,哇����,這么給力����?充值頁(yè)面都不加權限驗證的�?
查看了一下帳戶(hù)余額���,果然充值成功了:
哥有2萬(wàn)余額了����,哇咔咔??����!這個(gè)漏洞太致命了�,立馬給客服留言�。剛留完言���,他們的開(kāi)發(fā)人員給我打電話(huà)了�,和我討論
砸金蛋的漏洞問(wèn)題�,正好將剛發(fā)現的漏洞一起告訴他�。開(kāi)發(fā)人員就是命苦啊�����,元旦期間���,晚上10點(diǎn)多了���,他還要改代碼�。
改完他說(shuō)老板可能送點(diǎn)禮品給我��,好期待啊����,呵呵����。
最后他把我的帳戶(hù)余額清零了�����,我在心里呼喊:不~要~啊���,我的2萬(wàn)元啊~~~~~~~~
總結一下:前臺的驗證都是不靠譜的�����,后臺必要都要驗證一遍�����;管理頁(yè)面一定要加訪(fǎng)問(wèn)權限���;傳遞到后臺的數據一定要
進(jìn)行合法性驗證�����;不必要傳遞的參數就不傳���,比如那個(gè)砸蛋�����,我就想不明白為什么要把當前用戶(hù)擁有的砸蛋機會(huì )傳遞到
后臺�����,直接從數據庫中讀取不行么���?用戶(hù)ID不要以明文出現����。另外還要防范XSS跨站腳本攻擊(一般用判斷主機頭的方式)
我的網(wǎng)站:http://i.goto327.top:85/
相關(guān)推薦:
