友友贷账户控制体系不严(已登录土豪手机号账户资金安全堪忧)

编号133153
Urlhttp://www.wooyun.org/bug.php?action=view&id=133153
漏洞状态未联系到厂商或者厂商积极忽略
漏洞标题友友贷账户控制体系不严(已登录土豪手机号账户资金安全堪忧)
漏洞类型账户体系控制不严
厂商友友贷
白帽子路人甲
提交日期2015-08-10 18:23:00
公开日期2015-09-24 18:24:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签设计缺陷/边界绕过 用户敏感信息泄露 认证设计不合理 认证缺陷
关注数0
收藏数0
白帽评级
白帽自评rank20
厂商评级
厂商评rank15
漏洞简介
1、任意未注册的手机号码均可注册;
2、任意已注册的手机号码均可重置密码。
漏洞细节

任意未注册号码在该站注册


1.jpg


2.jpg


3.jpg


4.jpg


任意在该站注册过的号码充值其密码


5.jpg


6.jpg


7.jpg

POC

任意未注册号码在该站注册


1.jpg


2.jpg


3.jpg


4.jpg


任意在该站注册过的号码充值其密码


5.jpg


6.jpg


7.jpg

修复方案

easy

状态信息 2015-08-10: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-09-24: 厂商已经主动忽略漏洞,细节向公众公开
厂商回复(not set)
回应信息未能联系到厂商或者厂商积极拒绝漏洞Rank:15 (WooYun评价)