WooYun.org

1、绕过直销银行整体安全防护方案(高风险)
绕过这个安全防护方案后可以任意越权，这里以账户总览举例。
正常查询操作界面如下，

描述下它的防护方案，很有意思，按照正常的思路测试抓包发现，如图：

对它数据包进行重放会发现它会提示检测到重放攻击，测试多个功能后发现，它数据包中头中多出了两个字段，如：
signature: d66579552aef68092c00f71e876a4f36b371ab60
messageId: 8480654155D84505BFF40F60765F608C
这两个字段会随着功能及参数的不同一直变化着，且带有时间戳，修改任意数据包的值都会提示检测重放攻击或者验签错误，如图

做到这里估计就要看js代码去了，大多数小伙伴可能就放弃了，其实有个简单的方法突破，那就是修改response的值。简单举例，设置我要查询的用户账户，以10250000001269679举例，如图：

它的返回值已经设置为10250000001269679，

自动设置相关事件id及签名编码，且可以越权操作了。

2、通过U盾编号获取身份证信息(高风险)
功能点：插入U盾后访问登录窗体
链接：
https://dbank.hxb.com.cn/easybanking/CertLoginServlet?keySN=10000000000000000000002004679881&rand=null

修改参数keySN的值可以跑出一一对应的身份证号码，且keySN的编号为递增规律，如：

然后就可以大量跑数据，跑出银行的所有身份证号码。
3、无限发送短信
功能点：修改个人休息
链接：
https://dbank.hxb.com.cn/easybanking/PClientChangePersonalInfo/FormGetDynamicAction.do?actionType=form2&clickButton=yes
可以无限制发送短信绕过客户端校验，造成资源浪费。

4、存储性XSS跨站脚本(首页触发)
触发点：登录即可触发(预留信息xss)
在修改个人信息中，设置预留信息为：<body onload=prompt(1)>
系统采用黑名单机制，防范了img alert script等特征，但是仍有遗漏，比如prompt。
如图：