漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0132238
漏洞标题:p2p金融安全之前海理想金融任意用户密码重置漏洞(已重置官方账户)
相关厂商:id68.cn
漏洞作者: 乌云君
提交时间:2015-08-07 11:11
修复时间:2015-08-12 11:12
公开时间:2015-08-12 11:12
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-08-07: 细节已通知厂商并且等待厂商处理中
2015-08-12: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
前海理想金融(www.id68.cn)是深圳市前海理想金融控股有限公司的全资子公司,专业从事P2P网贷和投融资信息服务的互联网金融平台,是由凯恩股份(股票代码:002012)、大连控股(股票代码:600747)、中捷资源(股票代码:002021)、思考投资(股票代码:831896)四大上市公司强强联手浙报传媒控股集团及多家知名企业联合发起,以互联网金融和财富管理为核心业务的大型综合服务机构。
详细说明:
1.注册一个账号,需要一个手机号
2.忘记密码,填写自己注册时的手机号,获取得到验证码。
3.将填写的手机号改为要重置的受害者手机号,填写第二步中得到的验证码
4.填写密码,重置成功!
漏洞证明:
官网上到一个账号
重置账户为13632690186/12345678,不知道乌云君验证时受害者有没有改密码
成功登陆
好多钱钱¥¥¥
修复方案:
挺不错的金融类网站,应该很重视安全吧,求高rank,求小礼物。。谢谢。。
版权声明:转载请注明来源 乌云君@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-08-12 11:12
厂商回复:
漏洞Rank:15 (WooYun评价)
最新状态:
暂无