• 技术文章 >运维 >安全

    探讨一下某团购网的漏洞

    VV2021-02-20 10:58:22转载84

    前言:

    去年九月份同事在某团购网买了一份火锅套餐,后来几乎每天都去购买。元旦期间,该团购网推出了“VIP会员0元领红包”活动,领红包谁不喜欢?因此我也参与了该活动。

    于是果断进去注册,点击购买,进入了购物车再点击确认订单,恩?怎么alert这么一句“本活动只限VIP会员参与”?我第一反应是去看页面源代码(由于该活动已经结束,进不去购买页面了,所以在这里我只好用伪代码来表示):

    //确认订单按钮的点击事件function btn_click(){     
        ajax获取当前用户的类型    
            如果不是VIP,alert("本活动仅限VIP会员参与");     
                否则 form1.submit();
                }

    然后我在地址栏敲入:javascript:form1.submit(); 回车! 进入付款页面了,再点击确定,恩?购买成功!我获得了5元红包!

    fafbf22e0cd227024e8ad17fde01d72.png

    太给力了!!!我又新注册一个账号,重复上面的步骤,也成功获得了5元红包。

    马上给客服留言说明此BUG,不过到今天还没回复我,呵呵。

    这个漏洞的关键点是开发人员忘记了在form1.submit()的后台代码中判断当前用户是否VIP会员,只依赖于javascript的验证。

    前台的验证顶啥用啊,完全可以绕过去,后台的验证才最重要!!

    有了上午的收获,1号晚上我就继续找别的团购网的漏洞,果然被我找到一个更严重的。

    该团购网也举行了一个元旦抽奖砸金蛋活动,也是免费参与,购买后发现得邀请好友参与活动才有砸金蛋的机会,邀请一个好友就多一个机会,如图:

    2f011a45c46d40876bcf4bd71a777ac.png

    我一点击金蛋就alert一句“没有抽奖机会了快去邀请好友吧!”,恩,又是javascript?看看代码先:

    becfe8639f0422c3654375856b16a61.png

    这便是金蛋的点击事件,其中有一个用AJAX去访问的页面lottery1.php,而要传过去的chance变量应该就是当前用户拥有的砸蛋机会。

    (学习视频分享:编程入门

    我试着直接访问lottery1.php?chance=1,返回error字符串,lottery1.php?chance=0也返回error,lottery1.php?chance=-1,也

    返回error,难道没效果么?我刷新了一下砸金蛋的页面,哇!!

    508fb0a5e51f09eeeb1be7b1a9d080b.png

    我传了-1过去导致溢出了?我试着砸了几个,每次都成功获得代金卷!!太给力了。接着试着用代金卷去下单,也能成功减免掉几块钱,

    不过一张订单只能用一个代金卷,呵呵(当然测试用的订单我最后取消掉了,本人还没那么邪恶,哇咔咔)

    马上联系客服,居然下班了,QQ不在线,电话打不通,只好留了个言。

    接下来干嘛呢?砸蛋呗!42亿的金蛋呢,写了段JS自动砸!截止现在一共有3588个金蛋被砸开,其中至少有2000多个是我砸的,哇咔咔

    得到了一大堆的代金卷:

    789b72a805941b560f02717a9b5f4e0.png

    整整185页,呵呵,蛮壮观的!!!

    到了2号,我重新查看该团购网的代码时,发现了一个更严重的问题:

    JS中有这么个方法

    ca721df67029d8eeb98f8c3e50117e2.png

    乍一看是跟钱有关的吧,传入用户ID和钱的数目,试试有什么效果。

    用户ID怎么获得呢?别急,页面上有:

    b522c2ed29b052b816fb8564c2c2035.png

    这个96204就是我当前帐户的ID了,访问了一下,返回“线下充值成功”,哇,这么给力?充值页面都不加权限验证的?

    查看了一下帐户余额,果然充值成功了:

    6ca095c6c79ed1b1f68cf43cb6d9090.png

    哥有2万余额了,哇咔咔!!这个漏洞太致命了,立马给客服留言。刚留完言,他们的开发人员给我打电话了,和我讨论

    砸金蛋的漏洞问题,正好将刚发现的漏洞一起告诉他。开发人员就是命苦啊,元旦期间,晚上10点多了,他还要改代码。

    改完他说老板可能送点礼品给我,好期待啊,呵呵。

    最后他把我的帐户余额清零了,我在心里呼喊:不~要~啊,我的2万元啊~~~~~~~~

    总结一下:前台的验证都是不靠谱的,后台必要都要验证一遍;管理页面一定要加访问权限;传递到后台的数据一定要

    进行合法性验证;不必要传递的参数就不传,比如那个砸蛋,我就想不明白为什么要把当前用户拥有的砸蛋机会传递到

    后台,直接从数据库中读取不行么?用户ID不要以明文出现。另外还要防范XSS跨站脚本攻击(一般用判断主机头的方式)

    我的网站:http://i.goto327.top:85/

    相关推荐:网站安全

    以上就是探讨一下某团购网的漏洞的详细内容,更多请关注php中文网其它相关文章!

    本文转载于:博客园,如有侵犯,请联系a@php.cn删除
    专题推荐:团购网 漏洞
    上一篇:windows服务器安全设置总结 下一篇:没有了
    第15期线上培训班

    相关文章推荐

    • 防火墙不能防止利用服务器系统和网络协议漏洞进行的攻击,对么• 从系统整体看安全漏洞包括哪些方面• 漏洞信息及攻击工具获取的途径包括哪些• 合集phpcms安全漏洞

    全部评论我要评论

  • 取消发布评论发送
  • 1/1

    PHP中文网