当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-095030

漏洞标题:投资宝任意用户密码秒改(已经修改成功)

相关厂商:tzbao.com

漏洞作者: todaro

提交时间:2015-02-02 14:22

修复时间:2015-02-07 14:24

公开时间:2015-02-07 14:24

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-02-02: 细节已通知厂商并且等待厂商处理中
2015-02-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

作为国内成立最早的互联网金融服务平台之一,红岭创投不仅为社会闲散资金提供一个安全稳定的投资渠道,更致力于扶持中国实体经济发展,为小微企业解决融资难融资贵的难题。并以其诚信、透明、自律、创新的特征赢得了良好的用户口碑。 多年来,红岭创投坚持做行业自律表率并积极寻求监管。2013年12月,红岭创投与75家机构共同成为由央行领导的中国支付清算协会牵头成立的“互联网金融专业委员会”发起成员单位。2014年4月,创办国内首家互联网金融学院;与平安银行签署全面金融服务战略合作协议,切实保障投资者的资金安全。5月,作为国内9家知名P2P网贷平台之一,受邀参加银监会创新监管部在北京召开的座谈会,探讨P2P行业监管内容。6月,红岭创投首家分公司重庆分公司正式成立。

详细说明:

之前提交过一次,因为没有测试好,所以没通过。这次测试好了,并且发现了更严重的问题,所以重新提交以下。
密码找回问题处,直接js验证,可以绕过。即使修复js认证,还可以通过修改绑定人的号码,将改密码的验证码发送到黑客处。
对于你们这种做金融的,这种问题很大呦~~什么什么盗取xx钱,收益。。。。。

漏洞证明:

1、直接js验证,验证码验证形同虚设。
按正常的找回步骤走,选择手机找回,这一步,直接点击发,然后在验证码处我们填入123456

1.png


然后拦截返回的包

2.png


这里改成true,然后就进入密码重置了

3.png


2、为了避免你们直接修复js验证,其他就不改了,我再用验证码找回给你看。
挑选个有分量的用户

4.png


还是选择手机找回,在点击向手机发送验证码的时候,我们选择抓包。

5.png


然后你的手机就会收到验证码
输入

6.png


上一次没成功的原因就是这里还多加了个js验证,如第一步一样,将false改成true就行。我这里再提出这个问题,是为了让你们知道不要你们只修复js验证,这个手机验证码就不验证了,不然到时候又可以任意重置。

7.png


到这一张图片,就不用我再进行验证了吧?
3、邮箱找回
步骤和上面是一样的,改成自己的邮箱。

8.png


10.png


真是不好意思,houzi的密码被我改成a123123了

9.png


虽然我没测试,但是我隐约觉得
如果我用自己的账号(绑定我自己的手机,邮箱)找回密码的时候
在最后的重置阶段,通过将用户名改成目标的用户名也可以修改目标用户的密码,你们自测吧。

修复方案:

1、修复js验证
2、个人绑定的手机号码、qq邮箱不要返回给用户!
3、对绑定的手机号码和验证码进行验证
5、我要去吃饭了
4、如果厂商好心,愿意送礼物,我只收书,谢谢了。
哦 对了,一个用户不能一天之内接受那么多次的密码重置还有手机验证码,这是有问题的!
还有有效时间你们也得考虑进去!

版权声明:转载请注明来源 todaro@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-02-07 14:24

厂商回复:

最新状态:

2015-02-07:已修改成功


漏洞评价:

评论

  1. 2015-02-07 15:34 | todaro ( 实习白帽子 | Rank:39 漏洞数:12 | 完结。)

    @tzbao.com 已经修改成功,你和我说危害等级:无影响厂商忽略是够可以的了,厂商啊,珍重。