记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

P2P安全奇葩漏洞之好车贷(app)任意账户登录非暴力破解

2016-01-15 00:30

漏洞出现的很奇葩 提交用户信息的时候如:user_id 会直接返回用户username 和password登录的ip等。。。

不多说了 无图无真相!

首先是我的登录过程,进行抓包 登录账户和密码 密码为nimabi

QQ截图20151129204524.png



登陆后的状态进入我的财富,查看网络抓包 发现下面一条信息 提交一个user_id后进入返回了用户的所有信息,所有信息 所有信息重要的事情说三遍!

QQ截图20151129213352.png



QQ截图20151129212619.png



密码竟然是MD5的自己加密

QQ截图20151129204536.png

漏洞证明:

修改user_id 看是否能够查看别人的信息,我嘞个去 竟然真的返回了回来

QQ截图20151129214133.png



QQ截图20151129215812.png



真的返回来了,真的返回来了,真的返回来了.....

我和我的小伙伴都惊呆了

md5直接解密就可以登录了。。。

成功登录

QQ图片20151129220014.jpg



修复方案:

你们比我更清楚如何修复


知识来源: www.wooyun.org/bugs/wooyun-2016-0156939

阅读:168000 | 评论:0 | 标签:暴力破解 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“P2P安全奇葩漏洞之好车贷(app)任意账户登录非暴力破解”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁