179联通流量卡后台爆漏洞被代理利用

179中泽物联卡已稳定运营多年,寡人所写物联卡管理系统也一直用着挺不错,所有大大小小的功能都具备,可能在官方使用版本中唯一缺失的就是对接其它家的系统,但是官方为了其稳定也不会对接其它任何一家系统!

周六晚加班到凌晨三点将联通卡流量处理完成后,第二天突然说代理商订单管理中,未支付订单可直接进行到账处理(代理商拥有了特殊的一个权限),好吧!这可是个天大的问题!大早上也顾不上瞌睡,即可处理此问题!

既然是权限问题,就先将代理商的这个可到账的权限删除(只是打个勾勾而已的操作)则代理商无此权限,再次操作到账按钮已不可直接到账了!下面就是删除操作按钮或者该按钮只可管理员可见了(修改HTML)!

至此联通物联卡代理订单漏洞得以屏蔽,接下来就是处理之前被代理商恶意到账的账户和流量卡余额了!可能你使用的卡或者你名下的卡在你没有任何感觉的情况下问题就处理完了!.....

在此奉劝各位代理不要存在任何侥幸心理,不要想着发现个漏洞可以免费薅羊毛了,天下没有免费的午餐!

另外,管理员的权限不能给太大,管理员、客服人员的账号要分开处理;这样到底谁操作的也可有证可查,可是现在按钮问题到底权限怎么有的不可得知!

物联卡管理系统当初设定的和目前所承载的已不是一个等级了,只单单电信物联卡数则已有二百万量!好吧!我是不是又透露了什么!就此打住!

参与评论