首页 > 安全 > 网站安全 >

看我如何1块钱买价值3999块钱的嗨镜(京东众筹破2百万)支付漏洞

2016-07-19

号外!嗨镜众筹,惊人的一小时完成! 仅历时一小时,中国首款头戴式移动巨幕影院设备—嗨镜便完成了200000的京东众筹目标。嗨镜 我的移动巨幕影院已筹到¥1226779疯狂的增长。。

号外!嗨镜众筹,惊人的一小时完成!

仅历时一小时,中国首款头戴式移动巨幕影院设备—嗨镜便完成了200000的京东众筹目标。

嗨镜 我的移动巨幕影院

已筹到

¥1226779

疯狂的增长。。

ps:【能不能把我两块钱还我= =】

昨晚看到新闻

昨晚就试了下,收货地址有xss

直接打到后台

2016-06-01 11:00:50

location : http://store.highglass.cn/index.php/admin/orders/orderinfo/ordercode/HJ20160531TXNBI.html

toplocation : http://store.highglass.cn/index.php/admin/index/index.html

cookie : Hm_lvt_6a85950b8e848b18dfd9cbe282211f88=1456911779,1456911792,1457063947,1457064032; ECS[visit_times]=13; Hm_lvt_0c7e472e7acc683365c2c38869c925da=1459326601,1459910910,1461305345,1461911831; Hm_lvt_9fb074c6335903e1b6657d50fa054e83=1463450387,1464093254,1464335494,1464662906; PHPSESSID=u2m0vs2m4q062ham6bpaj921r5

opener :

HTTP_REFERER : http://store.highglass.cn/index.php/admin/orders/orderinfo/ordercode/HJ20160531TXNBI.html

HTTP_USER_AGENT : Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.80 Safari/537.36 Core/1.47.277.400 QQBrowser/9.4.7658.400

REMOTE_ADDR : 117.114.151.165, 117.114.151.165

IP_ADDRESS : 北京市--教育信息网

然后伪装改价格

下单

1.jpg

2.jpg

3.jpg

4.jpg

5.jpg

6.jpg

7.jpg

1:直接后台改

2:支付抓包改参数

3:能不能把我两块钱还我= =

11

解决方案:

22

相关文章
最新文章
热点推荐