中企动力商城支付漏洞（影响14+家分站商城） | wooyun-2015-0138335

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2015-0138335

漏洞标题：

中企动力商城支付漏洞（影响14+家分站商城）

漏洞详情

披露状态：

2015-09-01：细节已通知厂商并且等待厂商处理中
2015-09-01：厂商已经确认，细节仅向厂商公开
2015-09-11：细节向核心白帽子及相关领域专家公开
2015-09-21：细节向普通白帽子公开
2015-10-01：细节向实习白帽子公开
2015-10-16：细节向公众公开

简要描述：

233333

详细说明：

1.随便site一下找到14家分站商城，都是一样的漏洞

tai300.make-15088.300.cn
sissiok.make-15088.300.cn
9koudai.make-15088.300.cn
mhllshop.make-150100.300.cn
210chelejia.make-15088.300.cn
hhe.make-15088.300.cn
jascaffechina.make-15088.300.cn
312lzjjsc.make-15088.300.cn
yihaiji.make-15088.300.cn
bsy777.make-15088.300.cn
chinajzqc.make-15096.300.cn
pjlpsc.make-15088.300.cn
zt2014041401.make-53.300.cn
cnnbtc.make-15088.300.cn

2.随便选两家
http://210chelejia.make-15088.300.cn

帐号：abc888999 
密码：123456abc

商城选购一件商品，加入购物车

$3~`~MS`7I@~]$6HA_{PPJ6T.png$

提交订单，并抓包，把邮费改为-10.00

输出订单，33元，邮费省去了

第二家示范直接看图操作
http://meimi.make-15088.300.cn/members_login.html

结果邮费160没了哈哈赚了160

$GNC{86(_UVOU(E84(4P`7ED.png$

漏洞证明：

1.随便site一下找到14家分站商城，都是一样的漏洞

tai300.make-15088.300.cn
sissiok.make-15088.300.cn
9koudai.make-15088.300.cn
mhllshop.make-150100.300.cn
210chelejia.make-15088.300.cn
hhe.make-15088.300.cn
jascaffechina.make-15088.300.cn
312lzjjsc.make-15088.300.cn
yihaiji.make-15088.300.cn
bsy777.make-15088.300.cn
chinajzqc.make-15096.300.cn
pjlpsc.make-15088.300.cn
zt2014041401.make-53.300.cn
cnnbtc.make-15088.300.cn

2.随便选两家
http://210chelejia.make-15088.300.cn

帐号：abc888999 
密码：123456abc

商城选购一件商品，加入购物车

$3~`~MS`7I@~]$6HA_{PPJ6T.png$

提交订单，并抓包，把邮费改为-10.00

输出订单，33元，邮费省去了

第二家示范直接看图操作
http://meimi.make-15088.300.cn/members_login.html

结果邮费160没了哈哈赚了160

$GNC{86(_UVOU(E84(4P`7ED.png$

修复方案：

影响14+家分站商城

版权声明：转载请注明来源牛小帅@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2015-09-01 14:21

厂商回复：

正在处理

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源牛小帅@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 牛 小 帅@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

版权声明：转载请注明来源牛小帅@乌云