首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Hackerone案例之添加或删除新的非首选付款方式不会触发电子邮件或帐户通知

Hackerone案例之添加或删除新的非首选付款方式不会触发电子邮件或帐户通知

作者头像
用户1467662
发布2018-03-30 12:10:31
1.4K0
发布2018-03-30 12:10:31
举报
文章被收录于专栏:农夫安全农夫安全

0x00 前言

原文URL:

https://hackerone.com/reports/242964

漏洞很简单,hackerone官方就给回复了一句话。

虽然我们再用户提交付款方式时向用户发送电子邮件,但是再他们的首选付款方式被修改时,我们未发送通知。这份报告指处了这个疏忽。

虽然很简单的一个漏洞,但是也给了500美刀。下面,我来分享这个漏洞。

经过3个月的讨论,hackerone给了赏金,再过3个月,这个漏洞被公开。

由此可以看见,这个漏洞也是再hackerone内部被讨论了很多次。虽然看不见他们讨论了什么,但是,可以猜测。应该是利用方式(难度),漏洞危害等。说白了就是对CIA的评估。

那么我们现在换一个角度,设想一个漏洞利用的场景。

一个金融公司,他们的厂商存在这个漏洞。

现在,一个黑客,通过社会工程/其他手段,得到了客户的账号密码。

当黑客拥有了你的账号,提现账号余额的时候,还是只能提现到你的银行卡。国内现在P2P金融包括微信理财皆用的此种方式。

假如黑客现在利用这个漏洞,黑客添加了第二个提现方式,而你还是一脸懵逼的,你完全不知道你的账号被修改了。

而厂商完全没有对你发出提醒,将会导致你的余额就被全部转走了。

这个时候,如果你去起诉这个公司,我觉得,胜算是很大的。

所以,在我们看来:即使这个漏洞利用难度大,而且是很小的一个点,很小的一个细节。

不由让人产生出这玩意居然还能给钱的感觉.....

但是在业务流程领域,同样存有安全风险,而这类风险无法通过扫描器的方式判断。

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2017-12-11,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 网络安全社区悦信安 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档