新浪SAE平台活动充值小漏洞

SongKer 发布时间:2014-07-14 分类:分享 阅读:1994次 1 条评论

新浪SAE平台活动充值漏洞利用,可免费获取2000 新浪SAE云豆。

新浪SAE。即Sina App Engine(简称SAE)是新浪研发中心于2009年8月开始内部开发,并在2009年11月3日正式推出第一个Alpha版本的国内首个公有App Engine,SAE是新浪云计算战略的核心组成部分。

程序员们可以免费在新浪SAE平台上面部署自己的应用,并花费少量的钱获得较大的资源。其实对于我们测试自己应用程序,小的网页来说免费的完全是够用的。

活动:最近SAE推出了应用监控软件,监控云端应用的消耗情况,在手机上面使用sae软件就可以获得2000的云豆。对于我这普通的穷屌丝级别来说2000云豆相当于20元钱啊,这个便宜不得不占。不过等我使用上软件去领取2000云豆时候,却发现需要至少支付1元钱才能领取赠送的云豆。

鼓捣了半天发现这个验证只是在前台做了验证。使用Chrome浏览器查看代码。修改了文本框min的属性为0或者0.2等,提交的订单相应金额也随之改变。提交订单付款吧..

其实也试过用Burp抓包修改数据改包上传,但是SAE这块做了订单验证,失败。只发现了前台这个小小的漏洞,各位大神勿喷。

关键字词: 新浪SAE漏洞

已有1条留言

发表评论:

◎欢迎您的参与讨论。