P2P金融安全之在理财任意账户登陆(可影响账户资金安全)

漏洞概要

缺陷编号:WooYun-2015-0124130

漏洞标题:P2P金融安全之在理财任意账户登陆(可影响账户资金安全)

相关厂商:zailicai.com

漏洞作者:Looke

提交时间:2015-07-05 10:19

公开时间:2015-08-19 14:14

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-07-05: 细节已通知厂商并且等待厂商处理中
2015-07-05: 厂商已经确认,细节仅向厂商公开
2015-07-15: 细节向核心白帽子及相关领域专家公开
2015-07-25: 细节向普通白帽子公开
2015-08-04: 细节向实习白帽子公开
2015-08-19: 细节向公众公开

简要描述:

在理财”(www.zailicai.com)是一个定位于“强担保、强抵押”的综合性、安全的互联网债权投融资平台,隶属于北京中投国融金融信息服务有限公司。
中投国融是北京市海淀区重点扶持的创新型互联网金融企业,具备金融信息服务特许资质,旗下有品牌在理财,管理团队来自平安集团、海通证券、百度、网易、埃森哲、联想集团、经济日报等知名企业。是一家集金融、信息与网络为一体的综合性金融服务机构。(百度百科)

详细说明:

产生漏洞的原因是账户控制体系不严,未校验用户执行步骤,导致绕过重置密码1、输入我们自己的手机号码

2、发送短信验证码,输入正确验证码

3、进入重置密码页,保留该页面

4、新开选项卡,输入目标手机号码,发送短信验证码

5、回到步骤3、输入新密码,提交,目标手机号码密码重置成功。

漏洞证明:

用新密码登陆验证下,密码重置成功:

里面都是钱啊,危害这么大,来个小礼物可好?

修复方案:

加强服务器验证逻辑

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-07-0514:13

厂商回复:

当在某些特殊情况下时,有可能利用漏洞重置他人登录密码。但该操作会立即触发对目标用户的短信提醒,也无法获得原账号密码。同时由于账户内敏感信息(如验证邮箱、身份证号等)均做打星号隐藏处理,所以即使万一发生这样的情况,敏感信息也无法获取。此外,所有交易均需要额外的交易密码,因此,交易及资金安全没有受到威胁。
目前漏洞已经在第一时间修复!

最新状态:

2015-07-05:漏洞已经在第一时间修复

评价