当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0117322

漏洞标题:八戒宝P2P理财任意账户密码重置涉及身份证以及金钱

相关厂商:八戒宝

漏洞作者: zowie

提交时间:2015-05-31 18:20

修复时间:2015-07-15 18:22

公开时间:2015-07-15 18:22

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-31: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-07-15: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

八戒宝手机端找回密码处api接口直接返回了验证CODE导致可以随意重置任意密码,可以抓到本金、利息、姓名、身份证、可遍历所有用户、涉及金钱未敢深入,求厂商送礼物!!!!!!

详细说明:

1.app端登录直接去找回密码,填入要找回的手机,需要(手机、验证码、新密码)

找回页面-1.jpg


2.app端随便输入个手机号,抓包看到api接口直接返回了mobliecode!!!!!

BP-verfcode.jpg


3.利用返回的verfcode和手机号,重置一个新密码,然后登入账户咯

帐号信息-1.jpg


4.这人没买多少啊才几万块钱

用户资产.jpg


5.每天的利息也1块多钱

理财信息-1.jpg


6.算了算该用户大概买了2万多

资产信息-1.jpg


7.登录该用户还可以看到该用户的身份证、姓名、钱。。。

idcard.jpg


8.拿到用户最高权限了可以随便操作该账户 涉及金钱未深入 管理员审核敏感位置是不是都打码了
9.听说你们已经融资好几轮了 ~~~~~求发礼物~~~~

漏洞证明:

1.app端登录直接去找回密码,填入要找回的手机,需要(手机、验证码、新密码)

找回页面-1.jpg


2.app端随便输入个手机号,抓包看到api直接返回了mobliecode

BP-verfcode.jpg


3.利用返回的verfcode和手机号,重置一个新密码,然后登入账户咯

帐号信息-1.jpg


4.这人没买多少啊才几万块钱

用户资产.jpg


5.每天的利息也1块多钱

理财信息-1.jpg


6.算了算该用户大概买了2万多

资产信息-1.jpg


7.登录该用户还可以看到该用户的身份证、姓名、钱。。。

idcard.jpg


8.拿到用户最高权限了可以随便操作该账户 涉及金钱未深入 管理员审核敏感位置是不是都打码了
9.听说你们已经融资好几轮了 ~~~~~求发礼物~~~~

修复方案:

你们比我懂

版权声明:转载请注明来源 zowie@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)


漏洞评价:

评论

  1. 2015-06-03 19:34 | 冷风醉饮 ( 路人 | Rank:24 漏洞数:4 | 冷风醉饮)

    这种P2P理财发了没人鸟,最直接的方法就是买几张银行卡身份证黑进去,看看有没第三方托管,资金拖出来再说,反正P2P也是灰色边界。

  2. 2015-06-04 13:01 | zowie ( 路人 | Rank:15 漏洞数:5 | 长期广告位出租)

    @冷风醉饮 嗯好主意 这下妈妈再也不用担心我零花钱了