站长圈发生一件大事，我简称314事件

Aerry · 发表于 2024-3-15 06:41:13

事情是这样的，在我所在的一个程序售后群里，突然有人晒了一张关于“易支付sql注入测试”的截图，截图里面的内容是某某网站所用的支付接口被sql注入，然后改了订单回调导致支付成功。后续有群友通过截图里的“tg机器人”名字找到了这个工具的tg号，然后就一传十，十传百，百传千，经过后续别人测试自己的网站或者测试同行的网站发现只要是用了这款程序的电商平台，发卡平台无一幸免都会被注入且回调成功。
现在的情况就是成千上万对接了这款程序支付接口的网站都被撸了羊毛，其他程序也有这种情况，只不过这款程序的情况比较严重，tg机器人的作者在频道里号称通杀该程序所有版本。

遭受羊毛党比较严重的平台是那些所谓的卡盟，卡商，因为他们都是代理的总平台，然后往里面预充了很多钱，所以羊毛党可以操作完平台的支付回调之后随心所欲的购买那些[自动到账]的会员，居群里被撸的同行说有的被撸了几千，有的被撸了几万，现在程序的开发者给出的建议是关站，等解决了sql注入的问题使用新版本之后再开站。

我粗略的算了下这次事件受到波及的网站很多，损失的金额能起码超过百万。

zhujizixun · 发表于 2024-3-15 07:57:13

这个更像是后门，而不是漏洞，回调这么重要的功能竟然有问题，你信吗

Phyton · 发表于 2024-3-15 10:05:16

你还没告诉我怎么撸羊毛，你不是一个及格的mjj

我心飞呀飞 · 发表于 2024-3-15 08:51:59

你还没告诉我怎么撸羊毛，你不是一个及格的mjj

vlin · 发表于 2024-3-15 06:56:05

还好我不用易支付

lzylyg · 发表于 2024-3-16 16:48:36

个人认为是引号导致的宝塔防火墙一开就没事了因为宝塔防火墙防注入把引号全屏蔽了

连联非恋 · 发表于 2024-3-16 16:44:45

你还没告诉我怎么撸羊毛，你不是一个及格的mjj

hyx12589 · 发表于 2024-3-16 07:53:34

这玩意很早就有了吧,我之前还用这个漏洞白**过周晓琳的资源

柚年呦 · 发表于 2024-3-15 20:21:04

易支付旧版本好像据说也能成功的，新版的修复了

hou5287 · 发表于 2024-3-15 20:19:22

zhujizixun 发表于 2024-3-15 07:57
这个更像是后门，而不是漏洞，回调这么重要的功能竟然有问题，你信吗

还是专业大佬牛逼，听说是原作者闹不愉快后干的

张向郑汛 · 发表于 2024-3-15 20:12:27

你还没告诉我怎么撸羊毛，你不是一个及格的mjj

xftaw · 发表于 2024-3-15 19:22:54

小尾巴~~~~~

看签名>>>

daoyu · 发表于 2024-3-15 19:18:29

你还没告诉我怎么撸羊毛，你不是一个及格的mjj

haode · 发表于 2024-3-15 13:12:41

acpp 发表于 2024-3-15 08:46
正常来说易支付要赔偿吧

相当于黑吃黑了吧，哪有什么赔偿？

		自动登录	找回密码
密码			注册