漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0160294
漏洞标题:P2P金融丁丁贷任意手机号注册及重置用户密码
相关厂商:丁丁贷
漏洞作者: Nelion
提交时间:2015-12-11 16:49
修复时间:2016-01-23 15:16
公开时间:2016-01-23 15:16
漏洞类型:账户体系控制不严
危害等级:中
自评Rank:5
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-12-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-23: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
P2P金融丁丁贷任意手机号注册及重置用户密码。一开始用自己的手机号准备注册接收手机验证码,填写验证码的同时把手机号也改掉,就可以任意手机号注册了。重置用户密码的之前,需要用自己的手机号也注册一个账号,这样就能绕过手机号是否存在的检测,收到验证码后把手机号改成要重置的目标手机号,这样就能重置密码了。也就是说,自己的手机号注册以后,想该谁的密码就改谁的密码,只要你知道对方绑定的手机号。
详细说明:
丁丁贷系丁丁贷投资顾问(北京)有限公司旗下品牌
集信息咨询、投资咨询、贷款咨询服务于一体的P2P网络金融信息服务平台
通过一个优质的途径让需要理财的客户在获得良好资金回报率的同时
帮助有借款需求的客户实现发展和收益(官网介绍)
tintinloan.com
漏洞证明:
一、任意手机号注册:
1、填写用户名和自己的手机号,点击获取验证码:
2、填写手机收到的验证码后,同时修改手机号为要注册的手机号:
3、之后就能注册成功,我们看一下我们注册的账户:
二、重置用户密码:
4、在重置密码之前,我们需要自己用自己的真实手机号注册一个账号:
5、点击忘记密码,先填写自己的手机号获取验证码:
6、填写手机收到的验证码,同时把手机号改成目标手机号再填写了重置密码:
7、之后就能重置成功了。
修复方案:
只检测验证码的正确性是不够的,还得匹配接收验证码的手机号是否和绑定的手机号一致。
版权声明:转载请注明来源 Nelion@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝