由一张小票引起的联想

2019 年 2 月 12 日 FreeBuf

事情是这样的,日前逛煎蛋网,看到站长抱怨他买的东西,小票上的电子发票竟然没有二维码,而是一个URL明文:

这个很明显是二维码没有正确打印嘛。且慢,看起来金额、日期等参数很眼熟啊……

顿时有点兴趣了。日期、金额好像都是明文,没有任何加密,而且看起来没有什么校验。姑且尝试一下:

http://fapiao.lppz.com/eleInvoice/index.jhtml?ive=6640|66401|2019/01/29|00055102|139.21

生成一个二维码试试看(此处使用的是草料二维码生成器):

接下来用微信扫码试试,弹出提示,让我们下载发票(这个链接已经被使用,所以提示可以下载该发票):

顺手下载下来看一眼发票内容:

看起来都是零食,肯定有个贪吃的GF。请承受来自码农的怒火吧。

那么,既然这个链接的参数都是明文,那么能不能自己修改一下,然后生成二维码呢?试试:

http://fapiao.lppz.com/eleInvoice/index.jhtml?ive=6640|66401|2019/02/30|00055109|0.01

6640和66401,看起来应该是店铺id,暂不修改;日期随手改了个2月30日;0005510x可能是流水号,改了一个数字;最后是金额,写0.01。

再生成一个二维码试试看:

使用微信扫码试试:

这都是什么情况…………………………难道可以自行填写了吗?

ps:看起来已经自动把2月30日改为3月2日了;程序员赞一个……

竟然真的可以提交申请。如果没有人工审核,或者后台没有校验真实数据,也许这个票就真的开出来了。

联想起N久以前肯德基的电子发票,也是这个模式,微信扫二维码自行填报信息开具。可惜手贱,鄙人已经把那个二维码扔了。所以在某不存在的搜所引擎找一下,看看有没有“好心人”贴图:

该二维码同样可以正常被识别,内容如下:

可以看出,很多重要参数都是明文的,如果系统后台审核不严格,访客可以随意构建url,生成二维码后使用微信开票,企业将面临巨额损失。

由于实测风险过大,就不亲身尝试了。不过根据笔者多年的经验来看,这类系统存在漏洞的可能性极大。

由此,产生了一些想法:

1.必须进行身份核验,而且必须是开票的微信才能下载pdf,且限定下载次数;

2.其他人的微信,不可以浏览开票详情,不可以下载该pdf文件;

3.严格检查传参,并和后台的流水号、金额,需要一一对应

4.必须要一票一密,增加校验码;

5.参数要加密;

6.对于异常订单,要自动审查,进行人工核验;

7.参数一定要检查,务必要检查,必须要检查,谨防注入。

*本文原创作者:delectate,本文属于FreeBuf原创奖励计划,未经许可禁止转载

登录查看更多
0

相关内容

联想集团有限公司,是中国一家总部设在北京市和美国北卡罗莱纳州罗利市的跨国科技公司,成立于1984年,由中国科学院计算技术研究所投资20万元人民币、11名科技人员创办,当时称为“中国科学院计算所新技术发展公司”。1989年,更名为“北京联想计算机集团公司”。 维基百科
【ACL2020-Google】逆向工程配置的神经文本生成模型
专知会员服务
16+阅读 · 2020年4月20日
注意力图神经网络的多标签文本分类
专知会员服务
111+阅读 · 2020年3月28日
【ICLR2020-】基于记忆的图网络,MEMORY-BASED GRAPH NETWORKS
专知会员服务
108+阅读 · 2020年2月22日
领域知识图谱构建,115页2019著作带你学习KGC(附下载)
专知会员服务
82+阅读 · 2020年1月9日
面向对象:等你来撩
前端大全
5+阅读 · 2019年7月26日
《计算机研究与发展》投稿常见问题
计算机研究与发展
24+阅读 · 2019年6月13日
渗透某德棋牌游戏
黑白之道
12+阅读 · 2019年5月17日
量化交易系列课程
平均机器
10+阅读 · 2019年5月9日
2019,再不做私域流量就晚了?
互联网er的早读课
16+阅读 · 2019年4月10日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
神器Cobalt Strike3.13破解版
黑白之道
12+阅读 · 2019年3月1日
Arxiv
91+阅读 · 2020年2月28日
Conditional BERT Contextual Augmentation
Arxiv
8+阅读 · 2018年12月17日
Arxiv
7+阅读 · 2018年1月10日
VIP会员
相关资讯
面向对象:等你来撩
前端大全
5+阅读 · 2019年7月26日
《计算机研究与发展》投稿常见问题
计算机研究与发展
24+阅读 · 2019年6月13日
渗透某德棋牌游戏
黑白之道
12+阅读 · 2019年5月17日
量化交易系列课程
平均机器
10+阅读 · 2019年5月9日
2019,再不做私域流量就晚了?
互联网er的早读课
16+阅读 · 2019年4月10日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
神器Cobalt Strike3.13破解版
黑白之道
12+阅读 · 2019年3月1日
Top
微信扫码咨询专知VIP会员