万达酒店及度假村网站支付漏洞(已修复)
偶然间,看过一个七天酒店网站的漏洞。想
下面是过程与自己的见解(仅供学习)
挺早前就报了的,但是结果发现有人比我还早申报,但是漏洞一直还在,已发邮件提醒
以下操作均未触动任何利益,无造成任何经济损失,也无违法操作,仅为提醒、学习与交流
漏洞场景
网站:https://www.wandahotels.com/
想要拿到更多信息,权限很重要,所以要先注册登录
然后随便打开任意酒店网页,这里用:网址做例子
漏洞复现
工具:burpsuite
具体实现方法:通过抓包改包可实现修改任意价钱完成订单情况
1、先burp 开启抓包,随便点一个在线付钱
2、点击并抓包,修改对应金额为53
这里我只修改成53元,当然其他金额也可以包括0.01
3、修改完放包,进入下一个界面
4、点击下一步,去支付,并继续抓包
5、继续修改金额成53,放包
可以看到金额已经被我们修改成了53元,当然改成其他金额也是可以的
6、继续去支付
这是订单管理页的:
可以看到,支付金额也被我们修改成功了(后续没有进行,触及违法行为事情不能去做)
原因分析
支付页面金额直接前端js修改
无验证机制
可通过改包参数完成修改结果
解决方案
解决办法:设计金额数据加密传输,增加后台验证信息,不能在前端完成信息修改等等
因为比较简单的漏洞网上也大把方法故这里不细讲
扩展
这里还要分情况
1、不是说你修改了金额把房预定了就真的能入住
因为网站的后台可能会有功能验证金额对不得上,对不上会让你补金额(我没去验证)
但是无论如何,只要完成订单预定都会给他们带来不必要工作与麻烦
比如账户0.01完成多个房间预定导致用户无法订房等等
2、同理如果后台无处理这就是个逻辑漏洞,否则就是浏览器控制台输入型xss漏洞
总的来说,这个漏洞说大不大说小不小,需要引起重视
以上操作操作均未触动任何利益,无造成任何经济损失,也无违法操作,仅为提醒、学习与交流,请勿尝试
不可转载