漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0156092
漏洞标题:P2P金融共富网存在任意手机号注册及重置用户密码
相关厂商:共富网
漏洞作者: Nelion
提交时间:2015-11-26 15:45
修复时间:2016-01-11 15:32
公开时间:2016-01-11 15:32
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:10
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-11-26: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-11: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
P2P金融共富网存在任意手机号注册及重置用户密码;可以使用自己的未注册过的手机号来接收注册验证码;而且用自己的手机注册账号后就可以更改任意账户的登录密码,前提是需要知道他的用户名和手机号;
详细说明:
共富网(http://www.gofull.com.cn/):共富网是由一群致力于普惠金融和金融民主化的中国式合伙人团队创立,团队成员拥有国内外一流著名高校学历背景,各自在银行、小额贷款、融资担保、基金、保险以及上市金融IT公司等金融行业积累了丰富实战和管理经验,熟悉中国当前的信用环境和中小企业的融资困境,同时又怀揣“实现让人人享有平等投资权”的梦想。共富网拥有投资超千万级的风控、交易平台系统,专业的金融行业软件开发团队和运维团队,与阿里云、国际知名资信评估公司、全国性商业银行、领先的国有第三方支付公司合作,实现资金安全、网络安全、系统安全、数据安全。(官网介绍)
漏洞证明:
一、先来看看任意手机号注册:
1、点击注册,填写账户名和密码,我这里就用(用户名/密码:admin999/q123456)注册:
2、点击下一步,再来填写注册手机号,以13888888888为例(真为这户主担忧!):
3、点击下一步,它会弹出这个窗口,会看到它其实已经开始发送了,我们得等一分钟:
4、等了一分钟后,我们点击短信获取并开始抓包:
5、Burp抓包改数据,把这里的“1”改成你自己的手机号(我之前也说过,这里的手机号不能是注册过的):
6、手机收到验证码:
7、填写手机验证码,显示注册成功:
8、接下来便是得用自己的手机号注册一个真实账户(这里的目的都是为了绕过之后的检测):
9、点击忘记密码:
10、输入要重置的账号:
11、输入他绑定的手机号:
12、点击获取验证码时抓包:
13、抓包时记得,放过第一个包,修改第二个(改成自己注册的真实账号,这样才能绕过验证):
14、手机收到的验证码:
15、输入手机收到的验证码后,提交,就能跳到修改密码的链接了,接着就修改为自己的密码吧:
16、提示修改成功:
17、你可能会认为改的是我的真实账号,其实不是,重置的就是你修改的目标账号;用刚才修改后的账号登录看看:
修复方案:
验证的规则得加强,也可以多几步验证。
(我说得太多了,累死了)
版权声明:转载请注明来源 Nelion@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝