1.媒体来源:
三立
2.完整新闻标题:
ibon购票系统有漏洞?简单几秒、所有票券都只要一元
http://www.setn.com/ColumnNews.aspx?NewsID=95290 (图很精彩,建议直接看)
3.完整新闻内文:
记者黄郁棋/综合报导
“一块钱!一块钱!所有的东西,通通都只要一块钱!”这不是夜市跳楼大甩卖,也不是老板想不开,而是你在网络上看到的所有票券、礼品,通通都只要一块钱。日前恶搞脸书创办人祖克伯帐号的网络玩家张启元(他坚持自己的程度称不上骇客)意外发现,恐怕高达“三分之二”的台湾电子商务网站,都有着天大的漏洞:只要简单几步骤,就能用一块钱买走所有东西。他以ibon为例,手上拿着5张义大游乐世界的门票,加起来居然只要一块钱。
▲5张义大世界的门票,居然只要1块钱?(图/张启元独家提供)
“你知道这样多少钱吗?790*4=1,不骗你。”他发现,只要修改网页上的几个数值,竟然就能够骗过系统、成功结帐,用一块钱买到任何他想要的东西。
张启元跟记者解释这“一块钱”的背后,到底是多么严重的漏洞,而且一点也不困难。“你只要进去开发者界面,修改几个数值后,再选择数量,就可以让价格变0元了。但是因为0元不能结帐,所以你只要再订一张1块钱的票即可。”(由于担心有厂商来不及修正问题,所以报导不详细解释破解方式)
张启元甚至怀疑,如果将价格改为负数,再使用悠游卡付款,是否会反过来变成“储值”功能;不过因为他并不想从中获利,没有实际尝试;他在发现漏洞、成功结帐后,第一时间就通知统一超商(7-11)这个漏洞,统一也紧急将“ibon购票系统”停机维护。
▲统一超商ibon在得知漏洞存在后,第一时间停机下架了。(图/取自ibon售票系统)
统一超商向记者表示,其实他们的系统在第一时间就有警示异常,而在张启元回报这项漏洞后,他们的工程师也已经立刻开始进行修正,将伤害降到最低,并且停机更新;但是有问题的,其实不只是统一超商。张启元说,自己在测试大约30家电子商务网站后,居然有高达20家可以用类似的方式达到同样效果。
“建议金石堂的国泰世华信用卡付款页面、争鲜、游戏基地点数、UDN购票等,都要重新检查自己的系统;金流一定要有后台验证的动作,并且防止任何前台修改的可能性。”
▲这是UDN的购票系统,也有类似问题存在。(图/张启元独家提供)
▲游戏基地购买点数的系统,也有类似的问题存在。(图/张启元独家提供)
▲金石堂的Macbook Pro,也用1块钱结帐成功了。(9月9日结帐的,事后赶紧取消了)
▲▼争鲜也出现一样的状况,他们可以用“假点数”折抵的方式全部抵用。(图/张启元独家提供)
▲▼就连电商龙头老大之一的“Yahoo购物”,都疑似可以使用这个漏洞结帐。(图/张启元独家提供)
张启元表示,虽然他发现各家都有同样的漏洞,但是他其实并不想从中获利(也不想冒这个风险),所以已经试着回报各家电子商务网站有这些漏洞,也取消了订单(已经取票实验成功的,则不会使用);不过,并不是每一个商家都愿意像统一在第一时间修复,甚至还有企业与银行互踢皮球、推卸责任的情况发生。虽然电商资安人员应该能发现不正常的交易,但是能够用一块钱在柜台取票成功,怎么看都不太正常。
由于网络购物已经逐渐成为台湾人的主流购物模式,一旦“金流”方面的保安做得不够确实,带给消费者与企业自身的麻烦,恐怕后患无穷。
4.完整新闻连结 (或短网址):
http://www.setn.com/ColumnNews.aspx?NewsID=95290
5.备注:
ibon都为此停机了,还有厂商在踢皮球,呵呵...
感觉很大条啊,大家都有的共同问题!而且不需要成为骇客,也办得到...
作者:
Ho1liday (江湖唯有英雄志)
2015-09-15 00:13:00你只要进去开发者界面,修改几个数值后<======
作者:
rinatwo (无)
2015-09-15 00:13:00这是有犯意的 怎么可能会是民法的不当得利
作者:
pooznn (我~~~是来被打脸滴!!!)
2015-09-15 00:13:00写结帐程式的人 会被告吗?
作者:
whe84311 (Rainsa)
2015-09-15 00:14:00问题在于为什么客户端可以进开发者页面
作者: jhd9657 (帅个铭) 2015-09-15 00:14:00
不怕被告?
作者:
sim3000 (西恩)
2015-09-15 00:14:00ibon结帐时不就发现问题了
作者:
netsphere (Ruby&Waku)
2015-09-15 00:14:00就跟高铁那个手法一样,就看后端有没有挡
作者:
blaz (开花大叔)
2015-09-15 00:15:00没有后台验证,纯靠前台资讯,这那个天才做的系统
作者:
zone0317 (哈哈你活该)
2015-09-15 00:15:00开发者接口又不是你随便按就会进入
作者:
tareki (tareki)
2015-09-15 00:16:00大家都说不难,那为什么只有他发现?
作者:
Ho1liday (江湖唯有英雄志)
2015-09-15 00:16:00知道怎么改也没人敢用吧 就不信你不怕事后被追查吃官司
作者:
blaz (开花大叔)
2015-09-15 00:16:00搞不好输入一下 drop table 都能执行 (喂
真的不难阿 他也不是第一个发现的前一阵子才一个改高铁票价被抓的
作者:
Ho1liday (江湖唯有英雄志)
2015-09-15 00:17:00对阿 肯定会被抓的阿XD
作者:
GiPaPa (揪泞)
2015-09-15 00:18:00不同网站的漏洞都不一样 拿高铁的来说嘴也太好笑
作者:
GiPaPa (揪泞)
2015-09-15 00:19:00真的不难你真的可以去当白帽骇客了 薪水高的很喔
作者:
HamalAri (哈马‧阿里)
2015-09-15 00:19:00所以只用 get 才传资料,而且还不会检查 ???来
作者:
HamalAri (哈马‧阿里)
2015-09-15 00:20:00这么低级的洞不会是转包好几手的工读生写的吧?
作者: AndyLee76 (AndyLee) 2015-09-15 00:20:00
你的浏览器太新吧,推荐使用版ie说不定没有开发者接口
作者:
HamalAri (哈马‧阿里)
2015-09-15 00:21:00yoyo 卡改钱那个是台大教授发的论文,和这个完全不一样
会表单漏洞的早期可以赚不少网络赠奖奖品 XD但之后太多人会了 以前得奖者都那几个熟面孔
作者:
HamalAri (哈马‧阿里)
2015-09-15 00:22:00yoyo 卡攻击的是加密的洞,这个听起来是出大包
大家心照不宣 之前还有公司打电话问我怎么破解的他说是某某教授设计的 教授直觉不可能
作者:
doom3 (ⓓⓞⓞⓜ③ )
2015-09-15 00:24:00没在服务器检查资安不是大学生专题才会这样做吗?
作者:
wt5566 (commend & comment)
2015-09-15 00:28:00html的低级漏洞..
yoyo卡傻瓜才去破解 最简单的方法是复制买一张卡 储值一千元 然后复制几张出来 容易得多