cover

视频

步骤

输入下面这行代码

getTopupCart(1,"")  

括号内第一个参数即为自定义充值的金额,可以修改成任意你想充值的金额。

接下来就是按照标准流程,填写 Billing 地址,支付就好了。

充值成功后,邮件和短信,都会受到确认通知。

关于这个是否是漏洞

这个文章今天发在了V2ex上,有网友提示这是「钻空子」行为,想一想,这个严格意义上的确是绕过了官方的机制,虽然这个「漏洞」实在是太低级和弱智了。

还是谢谢网友们的提醒,如果有不恰当的地方,还请多指正。

写了一封 Report Mail 给 Lycamobile 官方,说明了这个漏洞的情况,看下他们什么时候回复吧。

Hi,I am a Web Developer. Recently i found a bug of lycamoible online recharge system.  
The minimum of Top-up amount is $10 on the page https://www.lycamobile.us/en/checkout/  
But it seems the backend system do not limit user to change the Top-up amount in front end.  
User can execute a one line javascript code in browser's console to custom a top-up amount and progress successfully.  
This image shows  how it works:  
photo_2019-04-04_10-24-07.jpg  
The getTopupCart() is a global function in the Javascript Code.  
This bug  will only change the top-up amount in the frist step, the following billing and payment progress works by page's instructions.  
Please forward this mail to your IT group,This might help.  
支付宝扫码打赏 微信打赏

本博客文章・图片・视频均为罗磊原创,转载请联系

扫描二维码,分享此文章

罗磊's Picture
罗磊

ZUOLUOTV 制作人,左左文化创始人。家在深圳,广州暨南大学,在北京(猎豹移动)和上海(阅文集团)当过五年前端工程师,俗称程序员,2018年辞职创业,现在给老婆打工,全世界走走逛逛拍拍。