CUUMALL可以不用花钱买东西
### 简要描述: CUUMALL支付漏洞 买东西的时候由于逻辑缺陷可不用花钱买东西 ### 详细说明: 我们登录后选择一个进行支付: url:http://demo.cuumall.com/index.php/home/detail/index/id/360 我们修改数量为负数,发现可以提交,改为-1,查看如图所示: [<img src="https://images.seebug.org/upload/201406/15142916e5069c446f7ec05c49fa98e716603b14.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/15142916e5069c446f7ec05c49fa98e716603b14.png) 有些时候会在后台进行二次校验,为了证明我们的猜想,我们一路确认下去,神奇的事情出现了 这里我们选择,货到付款,然后查看,居然支付成功,我们回到自己的主页面查看信息如图所示: [<img src="https://images.seebug.org/upload/201406/15143153c42b2d448ff7f1debd283d17b121e62d.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/15143153c42b2d448ff7f1debd283d17b121e62d.png) ### 漏洞证明:
