当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0153395

漏洞标题:广信贷设置不当导致重置任意用户登录密码和交易密码(影响用户资金安全)

相关厂商:guangxindai.com

漏洞作者: 路人甲

提交时间:2015-11-10 17:58

修复时间:2015-12-26 10:40

公开时间:2015-12-26 10:40

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-10: 细节已通知厂商并且等待厂商处理中
2015-11-11: 厂商已经确认,细节仅向厂商公开
2015-11-21: 细节向核心白帽子及相关领域专家公开
2015-12-01: 细节向普通白帽子公开
2015-12-11: 细节向实习白帽子公开
2015-12-26: 细节向公众公开

简要描述:

广信贷设置不当导致重置任意用户登录密码和交易密码,影响用户资金安全

详细说明:

漏洞证明:

先用自己邮箱找回密码

g1.png


到这一步,停住

g2.png


用相同浏览器找回密码,输入受害者邮箱,点击获取验证码,停住

g3.png


转到第二步,输入新的密码,提交把邮箱改成受害者邮箱

g6.png


提交修改成功

g5.png


修改用户资金密码,获取手机验证码,改成自己手机号,提交

g7.png


g8.png


修复方案:

加强判断

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-11-11 10:38

厂商回复:

感谢作者的披露,此漏洞确实会给用户带来不好的影响,导致信息被篡改,但因账户资金只能提现到本人实名账号下,账户资金是安全的。我们技术已经着手处理此问题,再次感谢作者,希望能与我们联系,小小礼物表示下感谢,也希望能帮我们看下其他问题,我们会尽可能的杜绝此类问题,保证用户账户和资金安全,谢谢。

最新状态:

2015-11-11:广信贷运营QQ号:97601189,希望作者可以跟我联系下

2015-11-11:广信贷运营QQ号:97600089,希望作者可以跟我联系下