从团购网的漏洞看网站安全性问题

自从9月份在同事推荐下在某团购网买了一份火锅的套餐后，就迷上了，几乎每天必去浏览一遍，看看有什么又便宜又好吃的。元旦期间当然也不例外，1号那天上午，看到了XXX团购网的“VIP会员0元领红包”活动，0元？我最喜欢了，虽然参与过很多次0元抽奖的活动，一次也没中，但是人总是有一种信念相信自己的运气的。于是果断进去注册，点击购买，进入了购物车再点击确认订单，恩？怎么alert这么一句“本活动只限VIP会员参与”？我第一反应是去看页面源代码(由于该活动已经结束，进不去购买页面了，所以在这里我只好用伪代码来表示):

//确认订单按钮的点击事件
function btn_click(){
ajax获取当前用户的类型
如果不是VIP，alert("本活动仅限VIP会员参与");
否则 form1.submit();
}

　　然后我在地址栏敲入：javascript:form1.submit(); 回车！ 进入付款页面了，再点击确定，恩？购买成功！我获得了5元红包！




　　太给力了！！！我又新注册一个账号，重复上面的步骤，也成功获得了5元红包。马上给客服留言说明此BUG，不过到今天还没回复我，呵呵。这个漏洞的关键点是开发人员忘记了在form1.submit()的后台代码中判断当前用户是否VIP会员，只依赖于javascript的验证。

　　前台的验证顶啥用啊，完全可以绕过去，后台的验证才最重要！！有了上午的收获，1号晚上我就继续找别的团购网的漏洞，果然被我找到一个更严重的。该团购网也举行了一个元旦抽奖砸金蛋活动，也是免费参与，购买后发现得邀请好友参与活动才有砸金蛋的机会，邀请一个好友就多一个机会，如图：




　　我一点击金蛋就alert一句“没有抽奖机会了快去邀请好友吧！”，恩，又是javascript？看看代码先：




　　这便是金蛋的点击事件，其中有一个用AJAX去访问的页面lottery1.php，而要传过去的chance变量应该就是当前用户拥有的砸蛋机会。我试着直接访问lottery1.php?chance=1，返回error字符串，lottery1.php?chance=0也返回error,lottery1.php?chance=-1，也返回error，难道没效果么？我刷新了一下砸金蛋的页面，哇！！




　　我传了-1过去导致溢出了？我试着砸了几个，每次都成功获得代金卷！！太给力了。接着试着用代金卷去下单，也能成功减免掉几块钱，不过一张订单只能用一个代金卷，呵呵（当然测试用的订单我最后取消掉了，本人还没那么邪恶，哇咔咔）马上联系客服，居然下班了，QQ不在线，电话打不通，只好留了个言。

　　接下来干嘛呢？砸蛋呗！42亿的金蛋呢，写了段JS自动砸！截止现在一共有3588个金蛋被砸开，其中至少有2000多个是我砸的，哇咔咔得到了一大堆的代金卷：




　　整整185页，呵呵，蛮壮观的！！！到了2号，我重新查看该团购网的代码时，发现了一个更严重的问题：

JS中有这么个方法




　　乍一看是跟钱有关的吧，传入用户ID和钱的数目，试试有什么效果。用户ID怎么获得呢？别急，页面上有：

　　这个96204就是我当前帐户的ID了，访问了一下，返回“线下充值成功”，哇，这么给力？充值页面都不加权限验证的？查看了一下帐户余额，果然充值成功了：




　　哥有2万余额了，哇咔咔！！这个漏洞太致命了，立马给客服留言。刚留完言，他们的开发人员给我打电话了，和我讨论砸金蛋的漏洞问题，正好将刚发现的漏洞一起告诉他。开发人员就是命苦啊，元旦期间，晚上10点多了，他还要改代码。

改完他说老板可能送点礼品给我，好期待啊，呵呵。最后他把我的帐户余额清零了，我在心里呼喊：不~要~啊，我的2万元啊~~~~~~~~

　　总结一下：前台的验证都是不靠谱的，后台必要都要验证一遍；管理页面一定要加访问权限；传递到后台的数据一定要进行合法性验证；不必要传递的参数就不传，比如那个砸蛋，我就想不明白为什么要把当前用户拥有的砸蛋机会传递到后台，直接从数据库中读取不行么？用户ID不要以明文出现。另外还要防范XSS跨站脚本攻击（一般用判断主机头的方式）