Cptn 0 Опубликовано 28 декабря, 2011 Жалоба Share Опубликовано 28 декабря, 2011 Человек, имеющий любой действующий купон - например, рекламный на мелкую скидку - может получить инфу о всех прочих купонах. Номера купонов взяты произвольно. 1. заходим в корзину с товаром. 2. в поле купон вводим любой купон который есть. 3. появляется строчка: купон: ПОДРОБНее. нажимаем на подробнее. 4. Открывается всплывающее окно, (я вводил новогодний купон) и это окно увеличиваем. 5.на строке ввода видим http://ваш_магазин_на_вамшопе/popup_coupon_help.php?cID=324 а на самой странице инфу о купоне. значит это число получившееся после = я буду брутить т.е. подбирать. попробую 328. оба купон на сорок процентов. 329 нет купона, пошел в низ.. подбираю любой купон который понравился и в котором нет ограничений... данная уязвимость есть и в демо магазине вамшопа. Кнопка Подробнее появляется после нажатия кнопки Использовать Как закрывать будем ? Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 28 декабря, 2011 Жалоба Share Опубликовано 28 декабря, 2011 А чём уязвимость, что-то я не понял?! Код купона не отображается ведь. А код купона - это основная информация, что б воспользоваться купоном. Да и купоны ограничиваются датой определённой, информация о купонах не является какой-то конфиденциальной ниформацией, как мне это видится, как раз наоборот, это способ стимуляции продаж и информация о купонах вообще должна быть доступна всем и всегда. Ссылка на сообщение Поделиться на другие сайты
Cptn 0 Опубликовано 28 декабря, 2011 Автор Жалоба Share Опубликовано 28 декабря, 2011 А чём уязвимость, что-то я не понял?! Код купона не отображается ведь. А код купона - это основная информация, что б воспользоваться купоном. Да и купоны ограничиваются датой определённой, информация о купонах не является какой-то конфиденциальной ниформацией, как мне это видится, как раз наоборот, это способ стимуляции продаж и информация о купонах вообще должна быть доступна всем и всегда. Существуют не ограниченные по сроку купоны, например персональные скидки, групповые, для пользователей какого-либо форума и т.п. Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 28 декабря, 2011 Жалоба Share Опубликовано 28 декабря, 2011 Ну и что, что б воспользоваться купоном нужен код купона ведь. Это никакая не уязвимость, как я это вижу, купоны не являются персонифицированными ведь. Вот заказы персонифицированы и посмотреть чужие заказы нельзя. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения