记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

拍拍贷任意删除其他用户的银行卡

2014-12-08 19:00

操作步骤:

1:帐号A登录,确认有两张银行卡

2:帐号B登录

3:帐号B登录访问URL修改帐号A的银行卡(由于要输入原卡号不能成功,但可以看到部分信息)

4:帐号B登录访问URL删除帐号A的银行卡(成功删除,由于存在CSRF,ID还是数字的,可以大量删除其他用户的银行卡,这种事情我就不做了。。)

5:帐号A确认尾号是5703的银行卡删除成功

漏洞证明:

1:帐号A登录,确认有两张银行卡 複製.jpg



2:帐号B登录 複製.jpg



3:帐号B登录访问URL修改帐号A的银行卡(由于要输入卡号不能成功) 複製.jpg



4:帐号B登录访问URL删除帐号A的银行卡 複製.jpg



5:帐号A确认删除成功 複製.jpg

修复方案:

修改和删除时做权限验证,并加TOKEN验证

知识来源: www.wooyun.org/bugs/wooyun-2014-071811

阅读:91130 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“拍拍贷任意删除其他用户的银行卡”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云