CmsEasy逻辑漏洞报告

漏洞归属单位：本地靶场

系统名称：CmsEasy

漏洞名称：支付逻辑漏洞

漏洞等级：高

漏洞类型：逻辑漏洞

漏洞所在详细IP或URI：http://cmseasy

漏洞详情：

1.打开网站，注册会员并登录。进入精选产品>智能产品

进入商品界面，购买商品

开启抓包，然后点击购买

数量修改为-900，放包

填写联系方式，并支付

成功购买，查看会员中心

一下赚了这么多钱，好开心。哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈

漏洞影响：免费可以一下买完所有商品，影响平台正常运营

修复建议：严格控制支付的所有参数，多方面校验，数量，价格等等...

后门、上传脚本、改动代码或配置等情况：无