当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0150672

漏洞标题:定位宝存在任意用户登录和在线支付漏洞

相关厂商:dwb.so

漏洞作者: 全通

提交时间:2015-10-31 20:21

修复时间:2015-12-18 00:34

公开时间:2015-12-18 00:34

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-31: 细节已通知厂商并且等待厂商处理中
2015-11-03: 厂商已经确认,细节仅向厂商公开
2015-11-13: 细节向核心白帽子及相关领域专家公开
2015-11-23: 细节向普通白帽子公开
2015-12-03: 细节向实习白帽子公开
2015-12-18: 细节向公众公开

简要描述:

详细说明:

去年老爸出去旅游发现一个定位软件叫定位宝挺好用,随时掌握老爸动向;今年又去了发现软件不能用了,需要充值,那就来测试下这款软件安全性如何吧。。。
存在问题:
1、修改密码页面http://sso.dwb.so/changepassword_check.php验证码,输入任意6位验证码即可成功,导致任意手机号登陆,更奇怪的是不发送验证码也能改密码。。。
2、定位宝官网在线充值(http://v.dwb.so/buy.php)vip存在支付漏洞;

1.jpg

充值页面

6.jpg

抓包

7.1.jpg

修改totalMoney数据包

3.jpg


4.jpg


5.jpg

居然成功,并未做验证
下边看看任意手机号登陆问题
修改密码页面 http://sso.dwb.so/changepassword_check.php

8.jpg

发现验证码功能没使用,任意输入6位数验证码,不用点击获取都是成功的

9.jpg

修改成功
登陆下

10.jpg

11.jpg


这个问题再手机app上也是存在的

漏洞证明:

1.jpg

充值页面

6.jpg

抓包

7.1.jpg

修改totalMoney数据包

3.jpg


4.jpg


5.jpg

居然成功,并未做验证
下边看看任意手机号登陆问题
修改密码页面 http://sso.dwb.so/changepassword_check.php

8.jpg

发现验证码功能没使用,任意输入6位数验证码,不用点击获取都是成功的

9.jpg

修改成功
登陆下

10.jpg

11.jpg


修复方案:

启动验证码功能,支付后做二次验证

版权声明:转载请注明来源 全通@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-11-03 00:33

厂商回复:

哎,现在的90后,要高薪,还要高兴,结果干活这么没有水准,我一定好好让他写思想总结!

最新状态:

暂无

漏洞评价:

评价