O2O模式下电玩世界无限游戏币攻击的可能性

漏洞详情

披露状态:

2014-04-09: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-05-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

只看SQL注入,其他没看。
这是一个典型的O2O业务中,线上漏洞,导致线下会员可以领取无限游戏币。
可以归零游戏币(那游戏公司就赚了)
1人民币兑换1个游戏币。
汇率稳定。

详细说明:

传统企业转型互联网,在O2O运营过程中,线上会遇到各类来自互联网的WEB攻击、网络攻击、社会工程攻击。

而在线下会仍然遇到伪造会员卡、极客设备插入攻击。

由于O2O的发展,攻击者跟随企业发展互联网化,将线下、线上攻击流程打通。

SQL注入,root权限,Windws2003,你叫我还怎么细说。

经典渗透测试套路。



+++++++++++++++++++++++++++++++++++++++++++++++++

大玩家超乐场是中国领先的室内综合娱乐的开发商与探索者。

在中国,作为万达商圈的主力店铺之一,大玩家超乐场已遍布北京、上海、广州、成都、天津、青岛、西安、福州、海口等一、二线城市。未来几年内,“超乐旋风”还将覆盖全国更多的区域。超乐脚步永不停息!

作为中国电子游戏协会理事单位、2008北京奥运会唯一游乐供应商、全国第六届城市运动会独家授权数字娱乐供应商、中国残疾儿童基金会会员单位,大玩家超乐场每天为数十万市民提供时尚刺激的娱乐产品和专业服务,逐步成为年轻人展现自我、放松身心、体验潮流、健康游乐的新高地。

大玩家超乐场长期致力于推动全国商业摩尔“超乐区域”的时尚演绎、激情绽放、娱乐拓展和益智健康,倡导休闲、绿色、丰富的生活方式,研究网络化全球化大势中高技术娱乐与国人品质生活的互动提升,促进社会的和谐与可持续发展。

大家来大家乐,每次总有新玩意。随时尽你我所能,永远让顾客欢笑。动感阳光的大玩家超乐场蓄势待发,无限精彩敬请期待!

漏洞证明:

注入点

0.gif





1.gif



3.gif





剩下没什么,看开发手册。

4.gif







其他体力活,就不做了。

修复方案:

SQL注入,自己修。

版权声明:转载请注明来源 tombook@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价: