当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0157354

漏洞标题:玖利人人互联网金融平台任意手机号注册以及任意手机号密码重置

相关厂商:玖利网

漏洞作者: 心云

提交时间:2015-12-02 23:07

修复时间:2016-01-16 23:08

公开时间:2016-01-16 23:08

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:18

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-02: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-16: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

玖利人人互联网金融平台(9libank.com)由沈阳卓铭经济信息咨询有限公司负责运营,经营团队由金融服务、风险管理及电子商务等业界一流的专业人士组成。玖利人人通过互联网为用户提供个人理财、消费分期信贷、小微商户信贷等优质便捷的微型金融服务,是国内领先的P2P网络借贷平台。
0X01 任意手机号注册
来到注册页面

注册界面.png


开启burpsuite 抓包,发送验证码

修改为自己的手机.png


将手机号修改为自己的号码
手机收到验证码:

手机验证码.png


然后成功注册 登录:

18888888888.png


0X02 任意手机号重置密码
来到重置密码页面:

找回密码.png


同样 抓包修改:

找回密码-修改手机.png


要求输入新密码:

输入新密码.png


修改成功,可利用新密码直接登录

新密码修改成功.png


漏洞证明:


18888888888.png


13888888888.png

修复方案:

加入验证码

版权声明:转载请注明来源 心云@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝