寺库网任意用户密码修改 漏洞
在找回密码的地方
只要知道用户名,验证码是6位纯数字,可以暴力 破解 ,而且多次发送的验证码都一样 验证码是551233 密码修改成功 寺库中国支付问题不知道能不能成为高富帅,东西可都是奢侈品啊,苹果跟这些比的话就是穷矮搓,土肥圆用的了
问题所在好像所有支付都没做签名校验吧,我试的招商和交通银行的都没有做签名校验,
充值的话没有问题,改了多少实际冲多少网站显示多少,但订单支付会有问题,发不发货就不知道了
订单22000,好贵啊
进行支付,选择支付方式,修改订单金额
查看需要支付的金额
修复方案:
1 增加没个订单的已支付金额项,如果需要支付金额和实际支付金额不同则自动为异常订单
2 每种支付方式按照官方文档进行签名校验,并和官方人员进行联测
查看更多关于寺库中国任意密码修改及支付问题 - 网站安全的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did13963