大米cms靶场漏洞报告

于 2024-01-24 17:24:13 发布
阅读量420 收藏 10
点赞数 8
文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyy8910599download/article/details/135826776
版权

漏洞归属单位:大米cms靶场

系统名称:大米cms

漏洞名称:支付逻辑漏洞

漏洞等:低

漏洞类型:逻辑漏洞

漏洞所在详细IP或URI:http://localhost:83/dami/

漏洞详情:

1.点击注册,先注册用户

点击注册,抓包,批量注册

发现可以任意用户批量注册,一下注册了50个账号

随便登录一个账号lyy105

可以登录,说明刚才批量注册成功

打开产品,购买一个,数量填-1

明显是一个支付逻辑漏洞。

漏洞影响:可以无限刷单,导致数据庞大影响查询速度,影响用户体验

修复建议:严格控制每个参数的输入,严格校验

后门、上传脚本、改动代码或配置等情况:无

沧海一粟@星火燎原
关注
  • 8
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
大米CMS
04-06
大米CMS是一个免费开源、快速、简单的PC建站和手机建站集成一体化系统,致力于为用户提供简单、快捷的PC建站和智能手机建站解决方案。大米CMS特点:1、扩展字段自定义,根据自己系统需要无限扩展字段,对于SELECT等下拉选项支持PHP代码生成OPTION,支持自定义多图多文件上传字段!2、后台栏目分类无限极,并可以控制字段的显示或隐藏,生成不同的管理表单,内置RBAC权限体系,分栏目权限,内容权限,方便管理3、列表模板(list目录下)和详细模板(page目录下)自定义,4、基于thinkphp MVC框架开发, 内置大量函数方便前台模板调用,大米拥有自己的万能标签与分类标签等方便调用数据5、作站灵活,可以将该系统做成任何类型网站,内置新闻类型站、企业站、手机3g站模型,通过http://***安装目录****/?t=xinwen这种查看,方便二次开发出不同模板7、支持伪静态与全站生成静态HTML,支持数据采集8、国内率先将微电商的概念引入CMS,让企业站不仅仅再是展示企业,可快速开展电子商务。集成支付宝标准双接口,支持购物车,可在线支付,货到付款,站内支付三种购买方式!会员集成QQ快捷登陆,支持购物订单通过电子邮件提醒!9、跨平台支持移动终端访问,自适应,不变形!可做手机APP等应用开发,内置JSON数据API接口10、国内CMS首创MSYQL表万能管理模型,输入MYSQL表名即可生成一个有增删改功能的管理模型,可快速在此基础上开发出自己想要的管理功能!11、配备手机数据交互接口JSON格式API12、支持中英等多语言大米CMS 更新日志:(1)增加管理员操作日志(2)管理员登录错误5次锁定15分钟(3)升级Kindeditor编辑器 多图多文件上传插件为html5支持的 不再依赖swf因为很多系统或浏览器禁用flash
大米cms后台多处存在存储型xss漏洞
炙热的酷盖
08-09 844
因为自己淋过雨,更懂太阳的力量 漏洞环境:damicms 首先进入后台 幻灯管理处————添加幻灯处 <script>alert('xss')</script> 单页标签处 基本管理-单页标签-添加标签 广告管理处 基本管理——广告管理 插件工具—文章内链处—添加内链 ...
20-PHP代码审计——damicms5.3-5.4支付逻辑漏洞分析
网络安全
06-19 1854
本次分析damicms的两个漏洞,一个是5.3版本的任意文件操作漏洞,另一个是5.4版本的逻辑支付漏洞
SRC | 逻辑漏洞原理及实战
不知名白帽的博客
07-23 1568
src之逻辑漏洞
【业务安全05】业务逻辑漏洞之篡改交易数据——基于大米CMS-V5.4电子商城
Fighting_hawk的博客
03-17 4120
1. 加深对业务逻辑漏洞的理解。 2. 掌握篡改交易数据这个业务逻辑漏洞的测试方法。
damiCMSv5.4漏洞复现
杨过的博客
06-12 1001
收集网站的指纹信息对于渗透测试来说是很重要的,CMS的信息漏洞,对于我们来说是很有大的发挥空间的。CMS漏洞有很多,网上可以自己收集信息进行测试。
逻辑漏洞(业务逻辑)dami CMS
diaobusi的博客
11-22 440
业务支付漏洞的产生通常源于在编写支付逻辑时的不严谨。这些漏洞可能是因为开发者未能充分考虑各种支付场景、未进行全面的输入验证、或者对支付过程中的边界条件和异常情况缺乏考虑。一旦这些漏洞被利用,可能会造成巨大的损失。
逻辑越权总结(超详细总结涉及各类越权)
剁椒鱼头没剁椒的博客
12-16 4451
Autorize是一个帮助渗透测试人员检测授权漏洞的扩展,这是Web应用程序渗透测试中比较耗时的任务之一。只需要将低权限账户的cookie值交个插件,然后用高权限的账号登录网站即可,该插件会自动重复每一个请求与低权限用户的会话并对其进行检测。在结果中看颜色,红色代表存在越权、黄色代表不确定、绿色代表没问题。在左边一列中红色列代表存在越权的可能,右边一列中红色列代表存在未授权访问的可能。
Damicms漏洞挖掘
最新发布
huohaowen的博客
01-18 621
本篇文章主要记录了对damicms漏洞挖掘
大米CMS_V5.5.3 SQL注入漏洞分析
qq_50854662的博客
01-09 785
大米CMS_V5.5.3 SQL注入漏洞分析
大米CMS-PHP
06-20
大米CMS是一个免费开源、快速、简单的PC建站和手机建站集成一体化系统,致力于为用户提供简单、快捷的PC建站和智能手机建站解决方案。 大米CMS特点: 1、扩展字段自定义,根据自己系统需要无限扩展字段,对于SELECT等下拉选项支持PHP代码生成OPTION,支持自定义多图多文件上传字段! 2、后台栏目分类无限极,并可以控制字段的显示或隐藏,生成不同的管理表单,内置RBAC权限体系,分栏目权限,内容权限,方便管理 3、列表模板(list目录下)和详细模板(page目录下)自定义, 4、基于thinkphp MVC框架开发, 内置大量函数方便前台模板调用,大米拥有自己的万能标签与分类标签等方便调用数据 5、作站灵活,可以将该系统做成任何类型网站,内置新闻类型站、企业站、手机3g站模型,通过http://***安装目录****/?t=xinwen这种查看,方便二次开发出不同模板 7、支持伪静态与全站生成静态HTML,支持数据采集 8、国内率先将微电商的概念引入CMS,让企业站不仅仅再是展示企业,可快速开展电子商务。集成支付宝标准双接口,支持购物车,可在线支付,货到付款,站内支付三种购买方式!会员集成QQ快捷登陆,支持购物订单通过电子邮件提醒! 9、跨平台支持移动终端访问,自适应,不变形!可做手机APP等应用开发,内置JSON数据API接口 10、国内CMS首创MSYQL表万能管理模型,输入MYSQL表名即可生成一个有增删改功能的管理模型,可快速在此基础上开发出自己想要的管理功能! 11、配备手机数据交互接口JSON格式API 12、支持中英等多语言 大米CMS 更新日志: 采用最新的thinkphp6.X框架重构,做了大量封装,代码无任何加密 完全开源,支持composer更新,模板写法有少许变化,尽量遵照原来写法 让熟悉大米cms的可以快速上手
大米CMS v5.8.3 3gcms 免费手机建站系统 智能建站源码
05-05
大米CMS是一个免费开源、快速、简单的PC建站和手机建站集成一体化系统,致力于为用户提供简单、快捷的PC建站和智能手机建站解决方案。 大米CMS特点: 1、扩展字段自定义,根据自己系统需要无限扩展字段,对于SELECT等下拉选项支持PHP代码生成OPTION,支持自定义多图多文件上传字段! 2、后台栏目分类无限极,并可以控制字段的显示或隐藏,生成不同的管理表单,内置RBAC权限体系,分栏目权限,内容权限,方便管理 3、列表模板(list目录下)和详细模板(page目录下)自定义, 4、基于thinkphp MVC框架开发, 内置大量函数方便前台模板调用,大米拥有自己的万能标签与分类标签等方便调用数据 5、作站灵活,可以将该系统做成任何类型网站,内置新闻类型站、企业站、手机3g站模型,通过http://***安装目录****/?t=xinwen这种查看,方便二次开发出不同模板 7、支持伪静态与全站生成静态HTML,支持数据采集 8、国内率先将微电商的概念引入CMS,让企业站不仅仅再是展示企业,可快速开展电子商务。集成支付宝标准双接口,支持购物车,可在线支付,货到付款,站内支付三种购买方式!会员集成QQ快捷登陆,支持购物订单通过电子邮件提醒! 9、跨平台支持移动终端访问,自适应,不变形!可做手机APP等应用开发,内置JSON数据API接口 10、国内CMS首创MSYQL表万能管理模型,输入MYSQL表名即可生成一个有增删改功能的管理模型,可快速在此基础上开发出自己想要的管理功能! 11、配备手机数据交互接口JSON格式APIa 大米CMS v5.8.3 更新日志: (1)优化会员中心代码,修复一处XSS遗漏 (2)修正PC微信扫码支付一处错误
大米CMS v5.5.3.rar
08-29
大米CMS是一个免费开源、快速、简单的PC建站和手机建站集成一体化系统,致力于为用户提供简单、快捷的PC建站和智能手机建站解决方案。 大米CMS特点: 1:扩展字段自定义,根据自己系统需要无限扩展字段,对于SELECT等下拉选项支持PHP代码生成OPTION,支持自定义多图多文件上传字段! 2:后台栏目分类无限极,并可以控制字段的显示或隐藏,生成不同的管理表单,内置RBAC权限体系,分栏目权限,内容权限,方便管理 3:列表模板(list目录下)和详细模板(page目录下)自定义, 4:基于thinkphp MVC框架开发, 内置大量函数方便前台模板调用,大米拥有自己的万能标签与分类标签等方便调用数据 5:作站灵活,可以将该系统做成任何类型网站,内置新闻类型站、企业站、手机3g站模型,通过http://***安装目录****/?t=xinwen这种查看,方便二次开发出不同模板 7:支持伪静态与全站生成静态HTML,支持数据采集 8:国内率先将微电商的概念引入CMS,让企业站不仅仅再是展示企业,可快速开展电子商务。集成支付宝标准双接口,支持购物车,可在线支付,货到付款,站内支付三种购买方式!会员集成QQ快捷登陆,支持购物订单通过电子邮件提醒! 9:跨**台支持移动终端访问,自适应,不变形!可做手机APP等应用开发,内置JSON数据API接口 10:国内CMS首创MSYQL表万能管理模型,输入MYSQL表名即可生成一个有增删改功能的管理模型,可快速在此基础上开发出自己想要的管理功能! 11:配备手机数据交互接口JSON格式APIa 大米CMS5.5.3更新 (1) 全新升级thinkphp3.1内核,发现若干不兼容的函数并修正,性能与速度大大提升 (2) 修正后台会员资料修改无法修改分组 (3) 添加邮件找回密码 (4) 修正升级thinkphp3.1内核后session类、 cookie类等不自动加载导致的一些错误如:留言本不能留言 (5)大米CMS安装时增加管理员密码设置 (6)后台栏目管理增加栏目图标
大米CMS 手机站、PC站一体系统 v4.5.rar
07-10
大米CMS是一套手机网站、PC网站集成一体的建站系统,大米CMS支持伪静态与全站生成静态HTML,支持数据采集   ,内核基于thinkphp MVC框架,提供简单、快捷的PC建站和智能手机建站解决方案,并提供开源的安卓手机客户端(APK)和对应的服务器端系统源码下载。   大米CMS的另一个亮点是MSYQL表万能管理模型,输入MYSQL表名即可生成一个有增删改功能的管理模型,非常方便管理MYSQL。
大米CMS最新官方版 v3.0
04-03
大米CMS最新官方版,大米CMS是一个免费开源、快速、简单的PC建站和手机建站集成一体化系统,致力于为用户提供简单、快捷的PC建站和智能手机建站解决方案。 提供开源的安卓手机客户端(APK)和对应的服务器端系统源码下载。 大米CMS特点: 1:扩展字段自定义,根据自己系统需要无限扩展字段,对于SELECT等下拉选项支持PHP代码生成 2:后台栏目分类无限极,并可以控制字段的显示或隐藏,生成不同的管理表单,方便管理 3:列表模板(list目录下)和详细模板(page目录下)自定义, 4:基于thinkphp框架开发(官网www.thinkphp.cn), 内置大量函数方便前台模板调用,大米万能标签可跨库调用数据 5:作站灵活,可以将该系统做成任何类型网站,内置新闻类型站、企业站、手机3g站模型,通过http://***安装目录****/?t=xinwen这种查看,方便二次开发出不同模板 6:国内率先将微电商的概念引入CMS,让企业站不仅仅再是展示企业,可快速开展电子商务。集成支付宝标准双接口,支持购物车,可在线支付! 7:跨平台支持移动终端访问,自适应,不变形!可做手机APP等应用开发 大米平台在线生成安卓APK应用特点: (1)一个手机上可以安装多个企业在本站生成的APK,不会出现签名冲突,这估计是国内首创! (2)不是将网页下载生成静态打包进APK,本站是将大米做的手机站进行包装,实现网站内容同步,客户自主性很高,生成简单快捷 大米CMS3.0更新 (1)修复网站全局配置错误,新加后台一键开启、关闭在线商城功能 (2)集成料支付宝标准双接口,实现料基本的商城功能,支持三种付款方式 在线支付、 货到付款、站内支付 (3)文章发布更加人性化,增加栏目树方便快捷操作 注册大米CMS论坛会员免费还可以获取顶级域名隐藏转发服务以及大米CMS更多模板.
大米CMS v5.9.6
12-01
大米CMS是一个开源、快速、简单的PC建站和手机建站集成一体化系统,致力于为用户提供简单、快捷的PC建站和智能手机建站解决方案。
大米CMS v6.0.0
10-12
大米CMS是一个开源、快速、简单的PC建站和手机建站集成一体化系统,致力于为用户提供简单、快捷的PC建站和智能手机建站解决方案。 大米CMS特点: 1、扩展字段自定义,根据自己
大米CMS v6.1.1
08-18
大米CMS简介 大米CMS 是一个开源、快速、简单的PC建站和手机建站集成一体化系统,致力于为用户提供简单、快捷的PC建站和智能手机建站解决方案。 提供开源的安卓手机客户端
大米CMS v6.1.0
08-22
大米CMS是一个开源、快速、简单的PC建站和手机建站集成一体化系统,致力于为用户提供简单、快捷的PC建站和智能手机建站解决方案。 大米CMS特点: 1、扩展字段自定义,根据自己
python大米图像分割
09-02
Python大米图像分割可以采用以下步骤: 1. 对图像进行二值化处理,将大米区域与背景区域分离。可以参考中的OTSU改进算法进行二值化处理。 2. 使用开运算操作,通过对二值化图像应用一个3x3的核,可以去除小的噪点并连接大米之间的间隙。可以参考中的代码实现。 3. 提取图像中的大米轮廓。可以使用OpenCV的findContours函数获得图像中的轮廓信息。 4. 对提取的轮廓进行凸包处理,通过计算凸包的数量来估计大米的数量。可以使用OpenCV的convexHull函数计算轮廓的凸包。 综上所述,采用上述步骤可以实现Python大米图像分割。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Python+Opencv图像处理--基于OTSU+凸包检测的粘连大米分割](https://blog.csdn.net/m0_37968030/article/details/112847031)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值