БАГ на пополение баланса на OKUP / Nvuti / Cabura / Trix

Тема в разделе "Веб уязвимости", создана пользователем ggooggg, 24.07.22.Просмотров: 197

  1. ggooggg Новичок

    ggooggg

    1 сообщения
    0 симпатий
    0
    розыгрышей
    1 год с нами
    9 месяцев с нами
    14 дней с нами
    Баг заключается в проверке перевода, в момент отправки смс подтверждения QIWI

    На главной странице, нажимаем "Пополнить", обязательно нажимаем на иконку QIWI(чтобы выбрать оплату через QIWI), вводим любую сумму, которая не превышает ваш баланс QIWI кошелька(от 50₽), нажимаем "Далее"
    нажимаем "Перейти к оплате"
    нажимаем "Далее" или "Оплатить"(админы иногда меняют текст, суть та же),
    [​IMG]

    способ оплаты "QIWI", входим в свой QIWI если не вошли, нажимаем "Перевести",
    и тут самое важное нас просят ввести код sms но мы его не вводим,
    [​IMG]

    а заходим в приложение QIWI или на сайт QIWI, в истории видим наш перевод в обработке, копируем "Номер транзакции"
    [​IMG]

    и возвращаемся на страницу где нужно вводить номер транзакции, вставляем этот номер транзакции
    [​IMG]

    и нас перекидывает на сайт okup, где уже пришло пополение и баг сработал, при этом мы не потратили денег, теперь выводим куда душе угодно.

    Вывод приходит в среднем за 10 минут (проверок и депозита перед выводом нет)
    Сайт - Скрытый контент. Для просмотра Вы должны быть зарегистрированным участником

    Вывод пришел:
    [​IMG]