记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

寺库中国任意密码修改及支付问题

2013-03-24 01:25

寺库网任意用户密码修改漏洞

 
在找回密码的地方


只要知道用户名,验证码是6位纯数字,可以暴力破解,而且多次发送的验证码都一样


验证码是551233



密码修改成功






寺库中国支付问题不知道能不能成为高富帅,东西可都是奢侈品啊,苹果跟这些比的话就是穷矮搓,土肥圆用的了
 
问题所在好像所有支付都没做签名校验吧,我试的招商和交通银行的都没有做签名校验,
充值的话没有问题,改了多少实际冲多少网站显示多少,但订单支付会有问题,发不发货就不知道了
订单22000,好贵啊
 
 
进行支付,选择支付方式,修改订单金额
 
查看需要支付的金额

修复方案:
1 增加没个订单的已支付金额项,如果需要支付金额和实际支付金额不同则自动为异常订单
2 每种支付方式按照官方文档进行签名校验,并和官方人员进行联测
知识来源: www.2cto.com/Article/201303/197473.html

阅读:100691 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“寺库中国任意密码修改及支付问题”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云