当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0132238

漏洞标题:p2p金融安全之前海理想金融任意用户密码重置漏洞(已重置官方账户)

相关厂商:id68.cn

漏洞作者: 乌云君

提交时间:2015-08-07 11:11

修复时间:2015-08-12 11:12

公开时间:2015-08-12 11:12

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-07: 细节已通知厂商并且等待厂商处理中
2015-08-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

前海理想金融(www.id68.cn)是深圳市前海理想金融控股有限公司的全资子公司,专业从事P2P网贷和投融资信息服务的互联网金融平台,是由凯恩股份(股票代码:002012)、大连控股(股票代码:600747)、中捷资源(股票代码:002021)、思考投资(股票代码:831896)四大上市公司强强联手浙报传媒控股集团及多家知名企业联合发起,以互联网金融和财富管理为核心业务的大型综合服务机构。

详细说明:

1.注册一个账号,需要一个手机号
2.忘记密码,填写自己注册时的手机号,获取得到验证码。

forget.png


forget2.png


3.将填写的手机号改为要重置的受害者手机号,填写第二步中得到的验证码
4.填写密码,重置成功!

漏洞证明:

官网上到一个账号

victim.png


重置账户为13632690186/12345678,不知道乌云君验证时受害者有没有改密码
成功登陆

success.png


好多钱钱¥¥¥

success2.png


修复方案:

挺不错的金融类网站,应该很重视安全吧,求高rank,求小礼物。。谢谢。。

版权声明:转载请注明来源 乌云君@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-08-12 11:12

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2015-08-12 11:40 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    @乌云君 13888888888 土豪账户居然没钱 我看了

  2. 2015-08-12 20:45 | 乌云君 ( 实习白帽子 | Rank:39 漏洞数:3 | 这家伙很懒,什么也没有留下)

    无语了,忽略了我的洞,却确认了这个洞, WooYun: P2P金融安全之前海理想金融APP任意用户密码重置漏洞(已重置官方账户) ,导致我还有另一个它的洞,不知道该不该报了。。