漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0157440
漏洞标题:新新贷APP存在逻辑错误任意账户注册和密码修改(以18688888888为例)
相关厂商:xinxindai.com
漏洞作者: oneplusone
提交时间:2015-12-02 13:25
修复时间:2016-01-13 14:07
公开时间:2016-01-13 14:07
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:厂商已经修复
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-12-02: 细节已通知厂商并且等待厂商处理中
2015-12-03: 厂商已经确认,细节仅向厂商公开
2015-12-13: 细节向核心白帽子及相关领域专家公开
2015-12-23: 细节向普通白帽子公开
2016-01-02: 细节向实习白帽子公开
2016-01-13: 厂商已经修复漏洞并主动公开,细节向公众公开
简要描述:
事情是突然有一天收到了一个APP的验证码,作为屌丝是没有钱去注册如此高大上的网上的。便有了下面的旅程
徒弟:师傅,我的手机号收到一条注册的验证码
师傅:你是不是又去逛1024了,
徒弟:.....
师傅:去看看怎么回事吧
详细说明:
去官网下载新新贷APP ;安装到手机上 burp进行抓包;注册一个账户吧18688888888;
提交一下发现一个问题
返回状态
返回状态码出现 “-1” 试着修改一下试试,发现秘密原来在这里 提交过程中修改如下图所示
修改返回码
我嘞个去进入验证通过了 跳转到了填入密码页面
输入名称 密码 18688888888注册成功!登录
漏洞证明:
修复方案:
版权声明:转载请注明来源 oneplusone@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2015-12-03 16:00
厂商回复:
确认是有这种的逻辑上设计漏洞,我们将及时修复!
最新状态:
2016-01-13:感谢oneplusone对我公司平台的关注和支持,为执着的白帽子情神喝彩!