当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0123207

漏洞标题:p2p金融安全之中瑞财富设计缺陷可进行扫号(可获取大量账号密码)

相关厂商:中瑞财富

漏洞作者: 艾薇儿

提交时间:2015-06-29 11:08

修复时间:2015-08-13 11:10

公开时间:2015-08-13 11:10

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:8

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-29: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-08-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

中瑞财富(www.zrcaifu.com)是国内首家大宗商品供应链金融P2P互联网投融资服务平台,于2014年5月12日正式上线。 中瑞财富隶属于中瑞控股集团,注册资金10000万元。作为中瑞控股集团“大宗商品供应链管理专家”布局中的重要一环,中瑞财富定位为打造专业的“供应链金融服务平台”。 中瑞控股集团旗下拥有市值超百亿的煤炭供应链上市公司——瑞茂通,集团每年大宗商品贸易量高达数百亿,在大宗商品产业园区的物流仓储、总部基地、大宗商品电商平台等均有布局。 依托整个中瑞控股集团的强大支持,中瑞财富诞生之初在P2P平台中就独具优势。截至目前,平台上线的融资项目涵盖卖方应收账款直接转让、保理商应收账款转让及企业流动资金借款三种业务类型。融资企业大多为与中瑞控股集团及其旗下上市公司瑞茂通有长期合作关系的大型企业。

详细说明:


登录功能存在逻辑缺陷,验证码不失效,导致可以撞库或者爆破用户

问题出现在

https://m.zrcaifu.com/login


通过登录失败的提示,可以先遍历出一部分用户。

QQ20150628-1@2x.png



然后再去爆破这部分用户的密码

QQ20150628-3@2x.png


抓取登录的请求

POST /login HTTP/1.1
Host: m.zrcaifu.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.10; rv:38.0) Gecko/20100101 Firefox/38.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: https://m.zrcaifu.com/login
Content-Length: 44
Cookie: rui-session=rui-session%3A0780a344-f8c6-49cb-869b-14c9c7785c1e
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
accname=13067781094&password=123123&captcha=


可以看到 第一次登录请求的时候验证码为空
在测试开始以为是没有验证码的,后来放到工具里面,去撞弱密码用户名,发现提示验证码错误
然后又回到登录页面,发现页面多了验证码,

QQ20150628-9@2x.png


抓带有验证码的请求,

QQ20150628-6@2x.png


发现验证码只是在前台页面做了刷新操作,程序里面没有做。导致验证码不失效

QQ20150628-7@2x.png


QQ20150628-8@2x.png


在 m 域名 和 www域名下 发现两个问题
1 www下注册时,会提示弱密码,但是m下没有
2 www下对用户信息会加密处理。但是m下没有

QQ20150628-4@2x.png


QQ20150628-10@2x.png

漏洞证明:

修复方案:

版权声明:转载请注明来源 艾薇儿@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝