扫二维码与项目经理沟通
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流
如何用一美分购买vps服务和网站空间,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。
成都创新互联专注为客户提供全方位的互联网综合服务,包含不限于网站设计、成都网站设计、横山网络推广、小程序定制开发、横山网络营销、横山企业策划、横山品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等,从售前售中售后,我们都将竭诚为您服务,您的肯定,是我们最大的嘉奖;成都创新互联为所有大学生创业者提供横山建站搭建服务,24小时服务热线:18980820575,官方网址:www.cdcxhl.com
今天分享的Writeup是作者发现VPS和建站托管服务商的支付漏洞,通过一美分($0.01)交易实现购买VPS和网站空间服务。
存在漏洞的两家网站
1. redaced.net ( 某VPS服务网站 )
2. redaced.com ( 某建站托管服务 )
某天,我想购买一个VPS服务作为网络侦测使用,于是我打开了VPS服务网站 redacted.net,我看到在它的购买项中有Paypal结算选项“Paypal Checkout” 。通常来说,在线支付服务会向Paypal(/cgi-bin/webscr)发送包含需要支付金额在内的POST数据请求,当然,如果在交易过程中的Paypal支付网关(Braintrees Payments)未设置合理的数据过滤/验证/措施,那么,攻击者就能修改需要支付的金额和其它相关数据。
例如,这里redacted.net网站在用户提交给Paypal的支付请求中,包含类似以下请求数据:
….&amount=1321&tax=12&….
然后,我找到了这个数据包,把它进行了一些修改,如下:
….&amount=0.01&tax=0&….
也就是说,我用一美分($0.01)提交支付,之后,我竟然收到了redacted.net的确认邮件:
点击其中的 “Confirm My Payment” 支付确认后,我购买的VPS服务竟支付成功了!
第二是在某建站托管服务网站中,当我用虚拟货币购买其网站空间服务时,我发现交易过程中它仅检验Trx ID(TRONIX支付ID)的有效性,并不对实际需要支付的金额进行验证,所以,我又用上述方法,以一美分($0.01)的价格,成功购买了价值差不多印尼卢比1.226.954(折合$90-&95)的网站空间。
看完上述内容,你们掌握如何用一美分购买VPS服务和网站空间的方法了吗?如果还想学到更多技能或想了解更多相关内容,欢迎关注创新互联行业资讯频道,感谢各位的阅读!
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流