漏洞概要
关注数(24)
关注此漏洞
漏洞标题:P2P金融安全之京金联某处密码重置等多个设计缺陷
提交时间:2016-03-20 23:22
修复时间:2016-03-25 23:30
公开时间:2016-03-25 23:30
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2016-03-20: 细节已通知厂商并且等待厂商处理中
2016-03-25: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
打包了
详细说明:
http://android.myapp.com/myapp/detail.htm?apkName=com.jjl
更新时间:2016.3.17 版本1.0.2
下载安装APP
1.密码重置
先利用注册功能,给自己手机发送验证码
记下接口返回体内容,跟手机验证码
例如
randomCode:kGAMCEZ0UFw= 对应验证码:784204
重置13333333333,发送验证码并输入信息后提交,获得一个接口
利用以上俩个信息,拼接该接口
提交结果
修改成功
可保存该接口,以便下次利用,就无需发送验证码(ps:审核可直接复制该接口内容进行密码重置)
2.信息泄露
登陆(token是没有用地,会话是没有地,uid是数字地,越权走一波)
查询账号资金信息接口,可越权查看账户资金(可发现土豪账户)
查询历史收益接口,可越权
查询收支明细记录,可越权
3.个人资料修改
APP还有个功能
个人资料表更
未验证之前的姓名和身份证,仅通过验证码正确与否来确定是否修改个人资料,然后通过跟重置密码一样的手段,可直接绕过验证码,更换个人资料.
例如
修改的接口
同样换掉验证码跟randCOde即可
在登陆时,服务器会返回用户的身份证号跟姓名
修改前:
修改后:
还有个重磅消息,这接口同样是有个uid的,同样存在越权操作,so,如果一放进burp跑一波,炸了(不敢试)
4.官网获取密保答案,可修改密保答案
再说个官网的缺陷
官网登陆
忘记密保问题的答案这一功能,可将答案发送给任意手机号
点击【忘记密保?发送到手机】后抓包,修改手机号
查看自己的手机短信,
输入问题答案即可,通过密保问题。
漏洞证明:
修复方案:
加强验证,修复越权。
验证码不返回。
验证码跟手机号绑定。
账户跟手机号绑定。
必须给个20R对不
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2016-03-25 23:30
厂商回复:
漏洞Rank:15 (WooYun评价)
最新状态:
暂无
漏洞评价:
评价