苏宁网站购物支付金额可修改漏洞及修复 - 网站

1.存在漏洞的是主站哦 http://www.suning.com/emall/city_10052_10051_9264_.html

2.支付漏洞，模拟下如何使用1元钱买ipad的吧，下面这张图选择一键购

3.填写好想要信息之后，进入到付款页面，注意看金额，这里是原价2866.00元

4.下面是重点了，提交订单， www.2cto.com 在跳转到银行支付的页面时，抓包，将金额改成￥1.00

5.具体的参数信息如下，Amount肯定就是金额了 BranchID=0025&CoNo=004624&BillNo=0023258647&Amount=2866.00&Date=20120804&MerchantUrl=https%3A%2F%2Fcallback.suning.com%2FNetPayment%2Fcallback%2FpageCallBack.action&MerchantPara=23258647 6.转到银行支付页面时，需要支付的金额只需要1元了：

7.后面没有进一步测试了。

修复方案：

厂商懂的，不过建议彻查下吧！

查看更多关于苏宁网站购物支付金额可修改漏洞及修复 - 网站的详细内容...