当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0128703

漏洞标题:P2P金融安全之珠宝贷存在找回密码/关键凭证修改逻辑漏洞

相关厂商:zhubaodai.com

漏洞作者: yysec

提交时间:2015-07-24 15:21

修复时间:2015-09-07 16:44

公开时间:2015-09-07 16:44

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-24: 细节已通知厂商并且等待厂商处理中
2015-07-24: 厂商已经确认,细节仅向厂商公开
2015-08-03: 细节向核心白帽子及相关领域专家公开
2015-08-13: 细节向普通白帽子公开
2015-08-23: 细节向实习白帽子公开
2015-09-07: 细节向公众公开

简要描述:

P2P金融安全之珠宝贷存在找回密码/关键凭证修改逻辑漏洞

详细说明:

存在漏洞url:http://www.zhubaodai.com/
短信验证直接被绕过,可直接修改用户的手机号
1短信验证为前台验证,使用burpsuit抓包得到最后一步修改密码的http包,可直接更改手机号及密码,如图:

图片1.png


图片2.png


图片3.png


在返回包中把”isOK”:false 改为 “isOK”:true ,然后可以得到验证通过的页面

图片4.png


改完手机号后在密码管理中查看是否成功

图片5.png


2.修改密码处有同样漏洞

图片6.png


图片7.png


图片8.png


再返回包中加入“isOK”:true ,可进入下一步

图片9.png


图片10.png

漏洞证明:

图片11.png


图片12.png


图片13.png

修复方案:

修改手机号码验证逻辑代码

版权声明:转载请注明来源 yysec@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-07-24 16:42

厂商回复:

已确认存在绕过手机验证码直接修改手机号和登录密码,但是用户必须登录才能绕过前面的步骤,所以也只能是修改已登录的账户信息,因此该漏洞不对他人信息造成泄露及更改。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-09-08 14:41 | 淡然出尘 ( 路人 | Rank:2 漏洞数:1 | 我是中国式的 你懂得..)

    厂商的话 很诚恳