国资背景p2p安全之生菜金融存在设计缺陷可重置任意账户密码

漏洞概要

缺陷编号:WooYun-2015-0127341

漏洞标题:国资背景p2p安全之生菜金融存在设计缺陷可重置任意账户密码

相关厂商:上海融道网金融信息服务有限公司

漏洞作者:Looke

提交时间:2015-07-19 22:35

公开时间:2015-09-02 22:36

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2015-07-19: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-09-02: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

生菜金融是全国首家国资背景的互联网理财平台,其运营主体是上海融道网金融信息服务有限公司(简称:融道网,成立于2009年7月,国内成立最早的互联网金融公司之一)。融道网在2014年获得上海市国资委直属投资机构——上海科技投资公司(后于2015年1月17日更名为上海科技创业投资有限公司)战略投资后,整合国资系融资性担保公司资源,推出了“生菜金融”互联网理财平台,致力于为大众提供安心、便捷、稳健、高收益的理财服务。

详细说明:

漏洞地址:

在找回密码处,本地校验,可本地绕过。

漏洞证明:

用新密码登陆下,登陆成功:

手机号可以通过遍历的方式获得,可影响平台用户账户安全,验证码和身份证信息都可以绕过。危害这么大,来个20rank可好?

修复方案:

校验工作放在服务器进行,加入token校验,防止客户端篡改。

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)

评价