漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0150672
漏洞标题:定位宝存在任意用户登录和在线支付漏洞
相关厂商:dwb.so
漏洞作者: 全通
提交时间:2015-10-31 20:21
修复时间:2015-12-18 00:34
公开时间:2015-12-18 00:34
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-10-31: 细节已通知厂商并且等待厂商处理中
2015-11-03: 厂商已经确认,细节仅向厂商公开
2015-11-13: 细节向核心白帽子及相关领域专家公开
2015-11-23: 细节向普通白帽子公开
2015-12-03: 细节向实习白帽子公开
2015-12-18: 细节向公众公开
简要描述:
详细说明:
去年老爸出去旅游发现一个定位软件叫定位宝挺好用,随时掌握老爸动向;今年又去了发现软件不能用了,需要充值,那就来测试下这款软件安全性如何吧。。。
存在问题:
1、修改密码页面http://sso.dwb.so/changepassword_check.php验证码,输入任意6位验证码即可成功,导致任意手机号登陆,更奇怪的是不发送验证码也能改密码。。。
2、定位宝官网在线充值(http://v.dwb.so/buy.php)vip存在支付漏洞;
充值页面
抓包
修改totalMoney数据包
居然成功,并未做验证
下边看看任意手机号登陆问题
修改密码页面 http://sso.dwb.so/changepassword_check.php
发现验证码功能没使用,任意输入6位数验证码,不用点击获取都是成功的
修改成功
登陆下
这个问题再手机app上也是存在的
漏洞证明:
充值页面
抓包
修改totalMoney数据包
居然成功,并未做验证
下边看看任意手机号登陆问题
修改密码页面 http://sso.dwb.so/changepassword_check.php
发现验证码功能没使用,任意输入6位数验证码,不用点击获取都是成功的
修改成功
登陆下
修复方案:
启动验证码功能,支付后做二次验证
版权声明:转载请注明来源 全通@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2015-11-03 00:33
厂商回复:
哎,现在的90后,要高薪,还要高兴,结果干活这么没有水准,我一定好好让他写思想总结!
最新状态:
暂无