WooYun.org

1、
合拍在线移动端http://m.he-pai.cn/login/logining 用于对post提交的用户名和密码等信息进行验证，但存在控制不严，可以进行不限次数的登录尝试，导致可以利用社工库进行密码撞库攻击。从而导致账户被控制。

POST /login/logining HTTP/1.1
 userName={usrname}&password={pwd}&verifyCode=&type=getvc

下午下载某涯较早的库，随机选则了1w个密码，通过网页投资页面或者第三点提供的用户名大概100名进行撞库破解。发现至少有2名密码可以被破解。登录其中一名进行下一步实验。

2、
由上一部获取用户名和密码在电脑端正常登录，在该URL：http://www.he-pai.cn/phone/memberCenter/selphongbinding.do 本应隐藏的手机号码信息竟然通过查看源文件可直接获取。同理
http://www.he-pai.cn/bank/memberCenter/selbank.do 本应隐藏的银行卡号码信息可通过查看源文件可直接获取。
至此，此人除身份证外的其他隐私信息均可成功获取！

3、
（此缺陷他们技术人员认为无关紧要，重要程度与否仁者见仁，该明细表本不应公开也不能公开至少得打星号。）
http://www.he-pai.cn/lntpayplandetail/memberCenter/selContract.do 为合同调用接口，该接口似乎判断了用户的cookie，但仍未对该接口进行控制，从而可获取用户投资过的借款标中的《出借人及出借金额明细表》（仅限于该用户有投资过该标才能显示），该明细表中详细记录了该标的所有投资人真实姓名、用户名、身份证、投资金额等一系列隐私数据。

http://www.he-pai.cn/lntpayplandetail/memberCenter/selContract.do?CN_FL_NO=CTxxxxxxxxxxxxxx&CN_STS=0

该接口接收CN_FL_NO参数为CT后14位数字，通过简单的判断，即可知道《明细表》所在的大致范围。通过小软件批量提交该范围的URL即可获取该《明细表》
这里给出两个《明细表》

合拍标号：201410150017 http://www.he-pai.cn/investmentDetail/investmentDetails/view.do?ln_no=JK14101500897668
对应明细表URL：http://www.he-pai.cn/lntpayplandetail/memberCenter/selContract.do?CN_FL_NO=CT20141015056994&CN_STS=0
合拍标号：201409250006 http://www.he-pai.cn/investmentDetail/investmentDetails/view.do?ln_no=JK14092500644774
对应明细表URL：http://www.he-pai.cn/lntpayplandetail/memberCenter/selContract.do?CN_FL_NO=CT20140925036331&CN_STS=0

作者注：
可利用明细表对指定人进行撞库，凡是成功者，该用户隐私尽失。可能危及到资金安全，并可被买卖形成新的社工库。