知名域名交易平台Ename.com被曝卖家可通过漏洞偷改价格
本帖最后由 浮尘 于 2015-9-21 17:58 编辑如果你拥有一个牛×的域名,那么在过去的几年时间里,你应该会频繁收到来自中国域名投资者的收购请求。在中国,域名已经成为一个非常热门的投资项目,在各大域名销售榜单上,也常常可以看到中国投资者的身影。连国民老公都顺手花6千万买来wanda.com的域名。
业内人士表示,想投资域名,正规的域名交易平台操作规范,服务专业,能提供域名过户、在线支付等配套业务,不但能够方便域名投资者和购买者,而且也更安全。
最近漏洞盒子的白帽子们在中国知名的域名交易平台易名中国 (Ename.com)上发现支付漏洞一枚:当你可能还在为白菜价买到一个域名而沾沾自喜时,卖家却可以在神不知鬼不觉的情况下,在后端提高域名的定价,而你,支付完毕才会彻底傻眼。
下图为域名价格页面,购买者基本每天都在一口价交易,直接购买:
当然,对于卖家发布的域名,是可以修改价格的,如下图:
以上都是很正常的功能,看似并没有什么明显的漏洞,但是,ename的后端到前端输出,有严重的设计缺陷,后端修改的价格,到前端的输出修改后的价格,至少间隔3-5分钟。
这意味着什么? 意味着卖家和你谈好一个价格,比如,你在网页上看到价格是6000,卖家却可以在你购买之前直接修改价格为60000,但是你看到的前端价格,依然是6000,除非3-5分钟后你再次更新,价格才会变,如果点击了购买,60000块就没有了,你真的以为你比国民老公还壕吗?
这样的漏洞已经严重影响平台客户的金融风险,如果被卖家恶意利用,会造成无法想象的失控局面!
而且,现在已经有人直接躺枪,几百元的域名,买回来7400。
好在卖家是域名界的老前辈,无心之举,修改其它域名的时候连着修改错了,联系他后,钱退回来了。但是,这已经让我们深深的感受到了这种漏洞背后的可怕。
据漏洞盒子团队介绍:这个漏洞本身技术含量并不高明,但因为该漏洞涉及域名投资者的支付安全,直接影响平台基础功能,隐患巨大。然而漏洞盒子在联系易名中国后,却得到如下回复:
感谢楼主的分享~ 支持中国红客联盟(ihonker.org) 支持中国红客联盟(ihonker.org) 支持,看起来不错呢! 感谢楼主的分享~ 支持,看起来不错呢! 支持中国红客联盟(ihonker.org) 感谢楼主的分享~ 支持,看起来不错呢!