漏洞详情
披露状态:
2012-03-16: 细节已通知厂商并且等待厂商处理中
2012-03-19: 厂商已经确认,细节仅向厂商公开
2012-04-03: 细节已向核心白帽子及相关领域专家开放
2012-04-18: 细节向全体白帽子公开
2012-05-03: 细节向公众公开
简要描述:
新浪微号存在支付绕过漏洞,最近乌云挺火的漏洞
详细说明:
在申请微号的过程中,在提交订单的时候,使用Fiddler进行数据的拦截,断下后往下走的时候,会发现有一个Webforms中的Body中有本次支付的金额,将这个金额修改成1后(我是修改成1的),然后继续运行,支付直接绕过,微号直接申请成功。
漏洞证明:
本来以为不成功的,就找了个看起来挺顺眼的号来做实验….
这个号收回与否你们来决定吧,我不想承担什么责任。。
微号:444880
评论关闭。