途牛旅行网两处漏洞,平行权限+支付漏洞下载
-
来源:黑吧安全网 浏览:423次 时间:2014-06-23
第一个是取消任意订单
两个不同帐号。
分别生成订单。
A帐号取消订单时修改订单对应ID。
ID是有规律排序,所以批量取消订单,你懂的。
另外订单支付成功之后也可以取消。所以。你更懂的
第二个。任意金额支付漏洞!
支付前,审核元素修改金额!妈妈再也不用担心我去不起东方明珠了
修复方案:
为了测试,提交了一个订单,并支付了,订单号是;10834701
麻烦取消。另外俺支付了1块钱。还我!
上一篇: 润趣科技SQL注入漏洞下载
下一篇: [公开漏洞]世纪佳缘手机APP注射漏洞