Hackerone案例之添加或删除新的非首选付款方式不会触发电子邮件或帐户通知

0x00 前言

原文URL:

https://hackerone.com/reports/242964

漏洞很简单,hackerone官方就给回复了一句话。

虽然我们再用户提交付款方式时向用户发送电子邮件,但是再他们的首选付款方式被修改时,我们未发送通知。这份报告指处了这个疏忽。

虽然很简单的一个漏洞,但是也给了500美刀。下面,我来分享这个漏洞。

经过3个月的讨论,hackerone给了赏金,再过3个月,这个漏洞被公开。

由此可以看见,这个漏洞也是再hackerone内部被讨论了很多次。虽然看不见他们讨论了什么,但是,可以猜测。应该是利用方式(难度),漏洞危害等。说白了就是对CIA的评估。

那么我们现在换一个角度,设想一个漏洞利用的场景。

一个金融公司,他们的厂商存在这个漏洞。

现在,一个黑客,通过社会工程/其他手段,得到了客户的账号密码。

当黑客拥有了你的账号,提现账号余额的时候,还是只能提现到你的银行卡。国内现在P2P金融包括微信理财皆用的此种方式。

假如黑客现在利用这个漏洞,黑客添加了第二个提现方式,而你还是一脸懵逼的,你完全不知道你的账号被修改了。

而厂商完全没有对你发出提醒,将会导致你的余额就被全部转走了。

这个时候,如果你去起诉这个公司,我觉得,胜算是很大的。

所以,在我们看来:即使这个漏洞利用难度大,而且是很小的一个点,很小的一个细节。

不由让人产生出这玩意居然还能给钱的感觉.....

但是在业务流程领域,同样存有安全风险,而这类风险无法通过扫描器的方式判断。

原文发布于微信公众号 - 网络安全社区悦信安(yuexin_an)

原文发表时间:2017-12-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏镁客网

黑客随时入侵!看了这个,你还敢用Android手机吗?

2246
来自专栏FreeBuf

安卓曝大漏洞:一条彩信可控制手机,影响95%设备

以色列移动信息安全公司 Zimperium 研究人员 Joshua Drake 在 Android 系统中发现了多处安全漏洞,Android 2.2到5.1的所...

2477

密码即将消亡,真的假的?

保护敏感私人信息的安全,防止他人对其的窥视,并不仅仅是一个现代的理念,这是我们几个世纪以来一直在表现的一种行为。从根本上来说,只要我们一直试图保护信息安全,那我...

1253
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–通过直接资本化进行资产购置(163)-5监控订单进度

4.9 S_ALR_87013019监控订单进度 在这个活动中可以监控资产订单的采购进度。 已在采购订单中输入先前步骤创建的固定资产;先前步骤被创建的资产投...

3918
来自专栏郭润增的专栏

微信支付:如何打造移动支付时代的高可用收银系统?

移动支付时代,越来越多的人习惯于不带现金出门,许多支付场景只需要掏出手机就能完成。正因为如此,收银系统的可用性问题也越来越重要。如何打造移动支付时代的高可用收银...

1.2K0
来自专栏BestSDK

API,打开“共享之门”的最好钥匙

我们经常听到开发人员讨论API。API与APP一词看上去很相似,对于APP我们很熟悉,即是应用程序Application的缩写,随着智能手机的普及这一词成了手机...

3366
来自专栏安恒信息

微软警告Windows XP用户:若不升级永遭zero day攻击

据国外《微电脑世界》(PCWorld)杂志网站报道,一直以来,微软都在不停地提醒、劝导和请求用户,在明年该公司对Windows XP的支持结束之前...

3376
来自专栏SDNLAB

开源软件的供应链是否存在安全风险?

2565
来自专栏数据和云

YH5:Extended RAC 双活解决方案

题记:对于企业关键业务而言,信息系统可靠性是关键。各行业关键 IT系统因为系统故障导致服务中断的事件仍然时有发生,近年来有一些银行 IT 系统,虽然建有两地三中...

5144
来自专栏安恒信息

本周热点事件盘点

01 本周热点事件盘点 1.澳大利亚政府发布小型企业网络安全指南 【关键字:企业安全】 近日,澳大利亚政府小型企业与家族企业监察专员组(ASBFEO)发布了小型...

3046

扫码关注云+社区

领取腾讯云代金券