记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

p2p之掌指金融严重逻辑漏洞

2015-08-12 05:50

p2p之掌指金融严重逻辑漏洞威胁任意用户(影响用户资金安全)

“掌指理财”是浙江融盈信息科技有限公司旗下专注于互联网金融创新的综合理财交易平台。

浙江融盈信息科技有限公司是一家服务于中国亿万网民的移动互联网金融企业。公司成立于2014年12月,注册资本1680万。公司有着互联网以及金融领域的专业背景与脉深。

用户注册和找回密码两个功能,使用了手机动态验证。

但是手机验证码为纯四位数字并且没有限制验证码错误次数限制

导致可以非常快速的爆破四位验证码
漏洞危害:注册任意手机号重置任意用户密码

0x01注册任意手机号(账号)以 13888888888为例测试中发现此手机号可以注册,正常走注册流程,输入手机号,获取验证码,然后随便输入一个验证码

抓到验证验证码的请求

然后放到工具里面爆破验证码 ,纯四位数字,分分钟跑完错误的验证码

正确的验证码

再回到注册页面,输入正确的验证码

点击下一步,

输入密码


0x02重置任意用户密码这里就以13888888888为例,存在的问题跟注册一样,这里就几张截图证明了正常找回密码,然后随便输入一个验证码

抓取请求,放到工具里去爆破验证码



解决方案:

使用6位以上的验证码,增加错误次数限制

知识来源: www.2cto.com/Article/201508/430485.html

阅读:74339 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“p2p之掌指金融严重逻辑漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云