http://android.myapp.com/myapp/detail.htm?apkName=com.jjl
更新时间:2016.3.17 版本1.0.2
下载安装APP
1.密码重置
先利用注册功能,给自己手机发送验证码
记下接口返回体内容,跟手机验证码
例如
randomCode:kGAMCEZ0UFw= 对应验证码:784204
重置13333333333,发送验证码并输入信息后提交,获得一个接口
利用以上俩个信息,拼接该接口
提交结果
修改成功
可保存该接口,以便下次利用,就无需发送验证码(ps:审核可直接复制该接口内容进行密码重置)
2.信息泄露
登陆(token是没有用地,会话是没有地,uid是数字地,越权走一波)
查询账号资金信息接口,可越权查看账户资金(可发现土豪账户)
查询历史收益接口,可越权
查询收支明细记录,可越权
3.个人资料修改
APP还有个功能
个人资料表更
未验证之前的姓名和身份证,仅通过验证码正确与否来确定是否修改个人资料,然后通过跟重置密码一样的手段,可直接绕过验证码,更换个人资料.
例如
修改的接口
同样换掉验证码跟randCOde即可
在登陆时,服务器会返回用户的身份证号跟姓名
修改前:
修改后:
还有个重磅消息,这接口同样是有个uid的,同样存在越权操作,so,如果一放进burp跑一波,炸了(不敢试)
4.官网获取密保答案,可修改密保答案
再说个官网的缺陷
官网登陆
忘记密保问题的答案这一功能,可将答案发送给任意手机号
点击【忘记密保?发送到手机】后抓包,修改手机号
查看自己的手机短信,
输入问题答案即可,通过密保问题。