当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-040110

漏洞标题:添富现金宝现金宝多个严重漏洞(可抢占他人账号)

相关厂商:添富现金宝

漏洞作者: hqdvista

提交时间:2013-10-18 10:35

修复时间:2013-12-02 10:36

公开时间:2013-12-02 10:36

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-10-18: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-12-02: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

添富现金宝是余额宝之后横空出世的另一个屌丝的理财,号称利率5.4%,但网站体验极差,且存在重大安全漏洞,可完成屌丝逆袭高帅富的梦想。

详细说明:

现金宝在找回密码页面将手机号码写在网页中,导致修改后可以将重置短信密码发送至任意号码,进而重置用户账户。同时还存在短信炸弹的问题。

漏洞证明:

某一天屌丝发现现金宝的利率这么高

Screenshot 2013-10-17 20.34.21.png


于是为了多挣点卫生纸撸管钱,打算把钱从余额宝转点出去
结果先不说网站做的极烂,首先在手机验证的地方有短信炸弹,不停地发请求就可以不停发短信。

Screenshot 2013-10-17 20.45.29.png


在注册的时候发现手机验证通过后,在填写个人信息的时候号码是写在网页里面的。

Screenshot 2013-10-17 20.40.20.png


于是猜想找回密码的时候估计也会这么干。
于是来找回下密码,先要求输入身份证和姓名,呵呵,这个到处都是,更别说2kw泄露之后,然后就来到了发送短信验证码的页面:

Screenshot 2013-10-17 20.47.00.png


改掉手机号,在另外一个手机上收验证码

698FDF345122C90CFE120348EA954CE6.jpg


成功拿到验证码,输入进入重置界面

Screenshot 2013-10-17 20.52.32.png


只能呵呵了
另外重复请求验证码也不会ban掉,目测也可以爆破

修复方案:

安全体系太差,开发没有任何安全意识,犯得都是经典错误

版权声明:转载请注明来源 hqdvista@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论