littleQ

终于明白曾经他们失落的目光,当年的你们是否一样;间有懈怠或有颓放,难知多久方能补上;今起,不再彷徨!

  BlogJava :: 首页 :: 联系 :: 聚合  :: 管理
  33 Posts :: 0 Stories :: 60 Comments :: 0 Trackbacks
支付宝四周年活动(http://4y.alipay.com)上线,积分游乐场有个拉霸游戏,可以抽中D1便利网的44元优惠券。这个优惠券,是购买指定商区的商品才能使用的,但是,我们通过修改页面元素,就可以直接使用优惠券。比如一个42元的商品,本身是不能使用优惠券的,但是这个bug就能让你用上44元优惠券,再加上免运费,就相当于不用花钱就拿到这款42元的商品。 我随便选择一款商品,在结算中心的支付、配送信息页面,选择优惠券的radio是不可选的。

代码是这样子的:
 

只要把其中 的
<input id="radio1" name="radio1" disabled="disabled" type="radio" />修改成<input id="radio1" name="tktid" value="275809" type="radio" />,就可以在购买这款商品的时候使用这张优惠券。在服务器端没有做任何的校验。只是在昨天下午的时候,他们发现了这个bug,并及时做出了修正,并打电话过来说抱歉,不会发货。从客户端到服务器的数据,都是值得怀疑的,不做任何校验就直接处理,在安全上存在很大的漏洞。我相信D1便利网这个bug存在不是一天两天的事情了,如果大家都利用这个bug,而且对方反应比较迟钝的话,等商品都发货了才发现这个bug,就已经是不小的资损了。
完全的概念,必须刻在每一个搞网络的人的脑子里。
posted on 2008-11-12 09:59 littleQ 阅读(1423) 评论(3)  编辑  收藏 所属分类: 无边无际

Feedback

# re: D1便利店的bug 2008-11-19 16:12 郑伟松
客房内可马上跟 哦个 使公司   回复  更多评论
  

# re: D1便利店的bug 2008-11-19 16:12 豆修海
不知道这个优惠券怎样用?  回复  更多评论
  

# re: D1便利店的bug 2008-11-19 17:39 littleQ
@豆修海
登录后在左边导航栏有‘我的优惠券’,从这个链接进去输入你的优惠码就行了。优惠券是在指定购物区才能使用的。  回复  更多评论
  


只有注册用户登录后才能发表评论。


网站导航: