現(xiàn)在的網(wǎng)站安全問(wèn)題非常突出，當(dāng)然，現(xiàn)在非?；鸨膱F(tuán)購(gòu)網(wǎng)也不例外。自從9月份在同事推薦下在某團(tuán)購(gòu)網(wǎng)買(mǎi)了一份火鍋的套餐后，就迷上了，幾乎每天必去瀏覽一遍，看看有什么又便宜又好吃的。元旦期間當(dāng)然也不例外，1號(hào)那天上午，看到了XXX團(tuán)購(gòu)網(wǎng)的“VIP會(huì)員0元領(lǐng)紅包”活動(dòng)，0元？我最喜歡了，雖然參與過(guò)很多次0元抽獎(jiǎng)的活動(dòng)，一次也沒(méi)中，但是人總是有一種信念相信自己的運(yùn)氣的。于是果斷進(jìn)去注冊(cè)，點(diǎn)擊購(gòu)買(mǎi)，進(jìn)入了購(gòu)物車(chē)再點(diǎn)擊確認(rèn)訂單，但是“本活動(dòng)只限VIP會(huì)員參與”？我第一反應(yīng)是去看頁(yè)面源代碼(由于該活動(dòng)已經(jīng)結(jié)束，進(jìn)不去購(gòu)買(mǎi)頁(yè)面了，所以在這里我只好用偽代碼來(lái)表示):

//確認(rèn)訂單按鈕的點(diǎn)擊事件  
function btn_click(){  
　　ajax獲取當(dāng)前用戶(hù)的類(lèi)型  
　　如果不是VIP，alert("本活動(dòng)僅限VIP會(huì)員參與");  
　　否則 form1.submit();  
} 

然后我在地址欄敲入：javascript:form1.submit(); 回車(chē)！ 進(jìn)入付款頁(yè)面了，再點(diǎn)擊確定，購(gòu)買(mǎi)成功！我獲得了5元紅包！

我又新注冊(cè)一個(gè)賬號(hào)，重復(fù)上面的步驟，也成功獲得了5元紅包。馬上給客服留言說(shuō)明此BUG。這個(gè)漏洞的關(guān)鍵點(diǎn)是開(kāi)發(fā)人員忘記了在form1.submit()的后臺(tái)代碼中判斷當(dāng)前用戶(hù)是否VIP會(huì)員，只依賴(lài)于javascript的驗(yàn)證。

前臺(tái)的驗(yàn)證完全可以繞過(guò)去，后臺(tái)的驗(yàn)證才最重要！有了上午的收獲，1號(hào)晚上我就繼續(xù)找別的團(tuán)購(gòu)網(wǎng)的漏洞，果然被我找到一個(gè)更嚴(yán)重的。該團(tuán)購(gòu)網(wǎng)也舉行了一個(gè)元旦抽獎(jiǎng)砸金蛋活動(dòng)，也是免費(fèi)參與，購(gòu)買(mǎi)后發(fā)現(xiàn)得邀請(qǐng)好友參與活動(dòng)才有砸金蛋的機(jī)會(huì)，邀請(qǐng)一個(gè)好友就多一個(gè)機(jī)會(huì)，如圖：

我一點(diǎn)擊金蛋就alert一句“沒(méi)有抽獎(jiǎng)機(jī)會(huì)了快去邀請(qǐng)好友吧！”，恩，又是javascript？看看代碼先：

這便是金蛋的點(diǎn)擊事件，其中有一個(gè)用AJAX去訪(fǎng)問(wèn)的頁(yè)面lottery1.php，而要傳過(guò)去的chance變量應(yīng)該就是當(dāng)前用戶(hù)擁有的砸蛋機(jī)會(huì)。我試著直接訪(fǎng)問(wèn)lottery1.php?chance=1，返回error字符串，lottery1.php?chance=0也返回error,lottery1.php?chance=-1，也返回error，難道沒(méi)效果么？我刷新了一下砸金蛋的頁(yè)面，哇??！

我傳了-1過(guò)去導(dǎo)致溢出了？我試著砸了幾個(gè)，每次都成功獲得代金卷！接著試著用代金卷去下單，也能成功減免掉幾塊錢(qián)，不過(guò)一張訂單只能用一個(gè)代金卷，（當(dāng)然測(cè)試用的訂單我最后取消掉了。）馬上聯(lián)系客服，居然下班了，QQ不在線(xiàn)，電話(huà)打不通，只好留了個(gè)言。

42億的金蛋呢，寫(xiě)了段JS自動(dòng)砸！截止現(xiàn)在一共有3588個(gè)金蛋被砸開(kāi)，其中至少有2000多個(gè)是我砸的，得到了一大堆的代金卷：

#p#

整整185頁(yè)。到了2號(hào)，我重新查看該團(tuán)購(gòu)網(wǎng)的代碼時(shí)，發(fā)現(xiàn)了一個(gè)更嚴(yán)重的問(wèn)題：

JS中有這么個(gè)方法

乍一看是跟錢(qián)有關(guān)的吧，傳入用戶(hù)ID和錢(qián)的數(shù)目，試試有什么效果。用戶(hù)ID怎么獲得呢？頁(yè)面上有：

這個(gè)96204就是我當(dāng)前帳戶(hù)的ID了，訪(fǎng)問(wèn)了一下，返回“線(xiàn)下充值成功”，充值頁(yè)面都不加權(quán)限驗(yàn)證的？查看了一下帳戶(hù)余額，果然充值成功了：

有2萬(wàn)余額了。這個(gè)漏洞太致命了，立馬給客服留言。剛留完言，他們的開(kāi)發(fā)人員給我打電話(huà)了，和我討論砸金蛋的漏洞問(wèn)題，正好將剛發(fā)現(xiàn)的漏洞一起告訴他。開(kāi)發(fā)人員就是命苦啊，元旦期間，晚上10點(diǎn)多了，他還要改代碼。

改完他說(shuō)老板可能送點(diǎn)禮品給我，最后他把我的帳戶(hù)余額清零了~~~~~~~~

總結(jié)一下：前臺(tái)的驗(yàn)證都是不可靠的，后臺(tái)必須要都要驗(yàn)證一遍；管理頁(yè)面一定要加訪(fǎng)問(wèn)權(quán)限；傳遞到后臺(tái)的數(shù)據(jù)一定要進(jìn)行合法性驗(yàn)證；不必要傳遞的參數(shù)就不傳，比如那個(gè)砸蛋，我就想不明白為什么要把當(dāng)前用戶(hù)擁有的砸蛋機(jī)會(huì)傳遞到后臺(tái)，直接從數(shù)據(jù)庫(kù)中讀取不行么？用戶(hù)ID不要以明文出現(xiàn)。另外還要防范XSS跨站腳本攻擊（一般用判斷主機(jī)頭的方式）

【編輯推薦】

1. NSS實(shí)驗(yàn)室發(fā)布漏洞測(cè)試全新模式:漏洞中心
2. 新網(wǎng)被黑 域名注冊(cè)商網(wǎng)站安全性竟如此脆弱
3. IE“圣誕”漏洞爆發(fā) 在線(xiàn)游戲網(wǎng)站成木馬重災(zāi)區(qū)
4. 企業(yè)門(mén)戶(hù)網(wǎng)站安全如何“給力”