域名交易平台Ename.com曝卖家通过漏洞偷改价格

  

如果你拥有一个牛×的域名,那么在过去的几年时间里,你应该会频繁收到来自中国域名投资者的收购请求。在中国,域名已经成为一个非常热门的投资项目,在各大域名销售榜单上,也常常可以看到中国投资者的身影。连国民老公都顺手花6千万买来wanda.com的域名。

 

业内人士表示,想投资域名,正规的域名交易平台操作规范,服务专业,能提供域名过户、在线支付等配套业务,不但能够方便域名投资者和购买者,而且也更安全。

 

最近漏洞盒子的白帽子们在中国知名的域名交易平台易名中国 (Ename.com)上发现支付漏洞一枚:当你可能还在为白菜价买到一个域名而沾沾自喜时,卖家却可以在神不知鬼不觉的情况下,在后端提高域名的定价,而你,支付完毕才会彻底傻眼。

 

下图为域名价格页面,购买者基本每天都在一口价交易,直接购买:

域名交易平台Ename.com曝卖家通过漏洞偷改价格

  

当然,对于卖家发布的域名,是可以修改价格的,如下图:

域名交易平台Ename.com曝卖家通过漏洞偷改价格

域名交易平台Ename.com曝卖家通过漏洞偷改价格

域名交易平台Ename.com曝卖家通过漏洞偷改价格

  

以上都是很正常的功能,看似并没有什么明显的漏洞,但是,ename的后端到前端输出,有严重的设计缺陷,后端修改的价格,到前端的输出修改后的价格,至少间隔3-5分钟。

 

这意味着什么? 意味着卖家和你谈好一个价格,比如,你在网页上看到价格是6000,卖家却可以在你购买之前直接修改价格为60000,但是你看到的前端价格,依然是6000,除非3-5分钟后你再次更新,价格才会变,如果点击了购买,60000块就没有了,你真的以为你比国民老公还壕吗?

 

这样的漏洞已经严重影响平台客户的金融风险,如果被卖家恶意利用,会造成无法想象的失控局面!

 

而且,现在已经有人直接躺枪,几百元的域名,买回来7400。

域名交易平台Ename.com曝卖家通过漏洞偷改价格

  

好在卖家是域名界的老前辈,无心之举,修改其它域名的时候连着修改错了,联系他后,钱退回来了。但是,这已经让我们深深的感受到了这种漏洞背后的可怕。

 

据漏洞盒子团队介绍:这个漏洞本身技术含量并不高明,但因为该漏洞涉及域名投资者的支付安全,直接影响平台基础功能,隐患巨大。然而漏洞盒子在联系易名中国后,却得到如下回复:

域名交易平台Ename.com曝卖家通过漏洞偷改价格

  

来源:FreeBuf

1 comment on “域名交易平台Ename.com曝卖家通过漏洞偷改价格

发表评论