P2P金融安全之珠宝贷存在找回密码/关键凭证修改逻辑漏洞

漏洞概要

缺陷编号:WooYun-2015-0128703

漏洞标题:P2P金融安全之珠宝贷存在找回密码/关键凭证修改逻辑漏洞

相关厂商:zhubaodai.com

漏洞作者:yysec

提交时间:2015-07-24 15:21

公开时间:2015-09-07 16:44

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-07-24: 细节已通知厂商并且等待厂商处理中
2015-07-24: 厂商已经确认,细节仅向厂商公开
2015-08-03: 细节向核心白帽子及相关领域专家公开
2015-08-13: 细节向普通白帽子公开
2015-08-23: 细节向实习白帽子公开
2015-09-07: 细节向公众公开

简要描述:

P2P金融安全之珠宝贷存在找回密码/关键凭证修改逻辑漏洞

详细说明:

存在漏洞url:http://www.zhubaodai.com/短信验证直接被绕过,可直接修改用户的手机号1短信验证为前台验证,使用burpsuit抓包得到最后一步修改密码的http包,可直接更改手机号及密码,如图:

在返回包中把”isOK”:false 改为 “isOK”:true ,然后可以得到验证通过的页面

改完手机号后在密码管理中查看是否成功

2.修改密码处有同样漏洞

再返回包中加入“isOK”:true ,可进入下一步

漏洞证明:

修复方案:

修改手机号码验证逻辑代码

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-07-2416:42

厂商回复:

已确认存在绕过手机验证码直接修改手机号和登录密码,但是用户必须登录才能绕过前面的步骤,所以也只能是修改已登录的账户信息,因此该漏洞不对他人信息造成泄露及更改。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 淡然出尘 白帽子 | Rank:0 漏洞数:0)

    厂商的话 很诚恳