当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0144052

漏洞标题:P2P安全之美利金融可某功能存在逻辑缺陷

相关厂商:美利金融

漏洞作者: 路人甲

提交时间:2015-10-07 08:45

修复时间:2015-11-21 08:46

公开时间:2015-11-21 08:46

漏洞类型:网络设计缺陷/逻辑错误

危害等级:中

自评Rank:5

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-07: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-11-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

网站可绕过原手机号码短信验证修改账户绑定手机 然后造成账户被盗,资金受损!

详细说明:

注册的手机卡丢了,哎呀,这可咋办呢
莫慌,经过查看,网站存在缺陷可绕过原手机号码验证修改账户绑定手机
首先我们登陆账号 图片是我的原手机号

步骤1.png


然后我们去点修改绑定手机 在修改那步 打开浏览器开发模式
利用审核元素修改要发送的手机号码

步骤2.png


再点发送 这样网站发送号码就已经改变了 直接发送到我们能接收短信的手机号上
再然后收到短信后我们去绑定新手机号码

步骤3.png


绑定成功的图

步骤4.png


好了,丢了卡也不用着急,完美跳过!

漏洞证明:

步骤3.png

步骤4.png

修复方案:

增加验证机制!

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝