当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-092931

漏洞标题:易通贷某处设置不当可任意修改用户资金密码

相关厂商:etongdai.com

漏洞作者: 忽然之间

提交时间:2015-01-22 10:57

修复时间:2015-03-08 10:58

公开时间:2015-03-08 10:58

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-22: 细节已通知厂商并且等待厂商处理中
2015-01-23: 厂商已经确认,细节仅向厂商公开
2015-02-02: 细节向核心白帽子及相关领域专家公开
2015-02-12: 细节向普通白帽子公开
2015-02-22: 细节向实习白帽子公开
2015-03-08: 细节向公众公开

简要描述:

易通贷某处设置不当可任意修改用户资金密码

详细说明:

1 易通贷可绕过已绑定手机验证码,修改用户资金密码
2 任意解除手机绑定,绑定成自己手机号

漏洞证明:

1 绕过已绑定手机号,修改资金密码
修改资金密码,手机号填写自己的手机号,输入自己手机收到的验证码

t8.jpg


提交已进入资金密码修改页面,并修改成功

t9.jpg


t10.jpg


2 解绑手机号,并绑定自己手机
点击后去验证码,拦截请求,修改成自己手机号

t5.jpg


输入自己收到的验证码,提交,解除绑定

t4.jpg


然后就可以绑定自己手机号了

修复方案:

服务端做好验证

版权声明:转载请注明来源 忽然之间@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-01-23 17:46

厂商回复:

感谢对此漏洞的发现工作。经过内部分析对已知问题复现,只有在用户已登录情况下,可以通过极少数第三方工具对本人已绑定手机修改,从而修改为新绑定手机。
该漏洞利用条件有特定限制(只有在客户自行登录情形下),难度系数高。我们在得到该漏洞信息后2小时内,修复该漏洞代码,并更新,经调查无一用户受影响。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-01-23 10:50 | 鬼五 ( 普通白帽子 | Rank:214 漏洞数:83 )

    洞主耍得一手好burp