逻辑漏洞-支付风险-大疆某处支付逻辑漏洞可1元买无人机

缺陷编号: WooYun-2016-194751
漏洞标题: 大疆某处支付逻辑漏洞可1元买无人机
漏洞作者: 锄禾哥

首先注册一个大疆的账号,打开大疆的商城,挑选一件商品进入点击购买

http://store.dji.com/cn/product/phantom-4

然后跳转进入了购买页面

https://store.dji.com/cn/buy/checkout?t=bn&i=4231&q=1&bind_care_id=0

打开fiddler进行拦截,咿呀,居然不行,证书有强制握手。

那试试把https改成http试试呢?

居然可以访问

填写完所有信息后,选择【银联】支付 点击提交订单

然后选择支付银行。开始拦截

https://store.dji.com/cn/transactions/32457360e54d332213645731228b456c

此接口有个total的参数,改为1

返回了一个支付宝的支付接口,打开支付界面不付款。

再次调用此接口,修改total为实际支付金额,然后开始付款

1元大疆到手!

时间: 2024-10-18 03:52:50

逻辑漏洞-支付风险-大疆某处支付逻辑漏洞可1元买无人机的相关文章

模仿亚马逊炒作无人机送货,京东是想打大疆的脸么?

近期,亚马逊一条无人机配送的视频广告引起了不小的关注,京东也紧随其后借热点宣传自己即将在中国乡村推出无人机配送,不过不少业内媒体对此提出了质疑,无论从技术.政策.市场等各方面,短期内无人机配送都无法实现,京东炒作无人机配送更多的是出于宣传目的,为前不久刘强东在某活动上的讲话提供公关声援. 京东紧随亚马逊再炒无人机送货,公关意义大于实际应用 国内对亚马逊宣传无人机配送普遍持包容态度,而对京东无人机配送则不以为然,因为国内媒体无法直观体会到亚马逊的无人机是否对市场有实际价值,但对京东在中国市场推无人

大疆回应无人机数据安全风险质疑

针对“无人机收集和分享的数据或导致行业面临风险”的猜疑,大疆于本周一向美国参议院商业.科学和运输安全小组委员会致信称:“该公司并不会通过互联网自动将照片或视频回传到服务器,这些数据完全依赖于无人机操作者的存储设备,大疆从未获得过客户分享的这些数据”. 该公司称:“在未经用户同意的情况下,大疆不会收集或分享任何无人机数据,包括飞航日志.照片.视频等”. 据悉,大疆拥有广泛的产品组合,其中包括消费级的 Spark 和 Mavic Air 无人机,外媒称之为‘近乎完美的折叠型 4K 迷你无人机’. 这

前辈们的话--大疆技术总监的金玉良言

今天在发烧友看到一篇很好的文章,有很大的启发和震撼,这就是别人一毕业就能进大疆,而我们还在为找工作发愁的原因吗?!! 当然文中说的很多东西都不是我们大多数人都能实现的,人家大一就开始接触嵌入式,入手Linux,学习python,而大一的很多人还沉浸在高考后的喜悦,开学后的迷茫中呢!这就是差距. 还是那句话,兴趣是最好的老师.要是 一开始我们就对机器人,电子技术感兴趣的话,这些其实都不用别人说的,自己就会想尽办法去寻找合适的学习路径. 遇山开山,遇水架桥.兴趣会指导我们找到该找到的一切的.所以,还

大疆地理围栏系统预防无人机闯入机场

全球最大的无人机制造商大疆(DJI)发表了「在线地理空间环境」( Geospatial Environment Online,GEO)2.0版,主要改善了欧洲市场的地理围栏(Geofencing)技术,避免该公司的无人机飞进32个欧洲国家的主要机场.地理围栏是在实际的地理环境中圈出一个虚拟的边界,可藉由装置上的位置感知器,判断使用者是否进入或离开了某个地理围栏的范围.大疆即利用该技术建立「禁止飞行区域」(No-Fly Zones),以GPS及其它卫星讯号避免无人机飞进诸如机场.监狱.核能发电场或

大疆面试

大疆投了图像处理算法工程师,但是和其他公司的图像岗不同的是,大疆的侧重相机,其他公司的侧重AI.后来面试时面试官才和我说到他们部门是相机算法部. 1.素质测评及笔试: 首先做了素质测评,然后是笔试,笔试真的基本都是相机相关,比如相机畸变,焦距什么的.我对这方面不是很熟悉,所以做得不是很好,但是也尽力了. 2.一面 8月初的某天下班回来,刚下公车走了段路,就接到大疆的电话,那时已经10点了,手机快没电了,因此和面试官说10点半面吧.走到宿舍差不多10点半,于是等了会电话来了就开始面了. 一面首先问

大疆这次不搞无人机了,VR飞行眼镜上市,简直酷炫!

原文标题:大疆这次不搞无人机了,VR飞行眼镜上市,简直酷炫! VR技术的发展使得许多科技公司开始布局VR行业,于是纷纷造出许多VR眼镜.VR盒子.VR一体机等产品.然而由于技术不成熟,给用户体验不佳,让VR行业不景气,VR行业正面临着寒冬.但是大疆却利用VR技术做了一个VR眼睛来适配大疆无人机,还真是走了一条不寻常的路. 其实在去年大疆的发布会上,就公布了这款FPV飞行眼镜--DJI Goggles.沉寂了一段时间之后,大疆于昨天公布了这款飞行眼镜的更多细节.这款FPV飞行眼镜可以支持Mavic

大疆精灵3图传通道信道破解 8通道变32通道

大疆精灵3和 悟1 的图传都只有8个默认通道,有时候会因为收到外界的干扰飞行的时候图传中断,是个很头疼的事情.精灵3的图传通道是可以破解的. 步骤一. 下载 DJI.configs 文件到自己的电脑或者手机上 下载地址链接: https://pan.baidu.com/s/1pKZlcjL 密码: 8nhd 步骤二. 将上面的文件复制到手机APP的目录下 复制路径为/Android\data\dji.pilot\files(Android) 苹果手机连接iTunes后如图 这截图是DJI Pil

超越小米、大疆学不会,拯救中国制造的出路是什么?

(上图为长江商学院副院长.创新导师甘洁教授) 历史的规律是,应用在哪里,哪里的技术会发展起来.为什么美国的芯片产业那么强?因为早期的计算机.后来的智能手机,都在美国率先发展起来.在中国,大疆无人机的崛起带动了一系列芯片设计企业的发展.大疆的图传芯片.GPS.电机.定位等都采用了自己的芯片,因为大疆愿意给国内IC设计企业机会,而相应的国产芯片也成为了大疆的竞争力. 长江商学院副院长.创新导师甘洁教授也是大疆创新科技.李群自动化等高科技公司的董事,她与香港科技大学自动化技术中心主任李泽湘教授,一起在

大疆Phantom 4 RTK 通过4G SIM卡来控制飞机

一直设想无人机能够飞得更远.更稳,能不能通过4g信号来实现,现在大疆帮我们实现了,不愧是家伟大的公司: 特点: 用途:测绘.农业.巡检.植保.建筑测量 精度:GPS/北斗/GLONASS 3系统6频点RTK为飞行器提供2厘米级定位 支持4G网络 一控多机(5台飞行器) 在基站网络信号差的时候,支持连接入自有网络 支持中断点保存功能,可对超大面积的地形进行测量(1平方公里(1500亩)). 1英寸2000万像素传感器 30分钟续航 控制点可以减低到5个以下,大幅节省时间. 外观: 在遥控器中插入4