1、打开应用点击“马上开户”-“我知道了”,登录账户 2、未注册过的手机登录时,验证码可爆破。但是这个只是任意用户注册,是另外一个漏洞了。 3、新手机注册登录后,需要上传身份证信息,这里获取身份信息存在问题,获取不到姓名时,默认填充“姓名”,这也不是我们的关键 4、下一步填写用户资料,后抓包
5、统一协议后设置,交易密码,这里密码明文传输,也是醉了,但这个漏洞也不是重点。 6、要求录入银行卡号,再一次明文传输银行卡号,而且不验证户主信息。这个漏洞也不提。 7、下面是一个调查问卷,随便填一下,完成测评。核对信息也随便填一下“确定”。 8、太好了,抓包,看重点。这个包只在首次信息录入的时候能抓到:https://ay.pingan.com
9、burp中选中改数据包"send to Intruder",修改包内容为目标内容
10、设置遍历user_id,当前用户user_id=3507887
11、点击右上角start attack
12、显示修改成功,为了验证修改任意用户都可以成功,所以找了两个手机号。换一个手机登陆后,不需要输入身份信息,只是密码设置、银行卡、调查问卷,然后就进入了最终视频认证界面。
13、抓包显示受害用户上传给服务器的个人信息已经被篡改了。且受害用户根本不知情,视频认证也是没有声音的。user_id=3504596
14、最终受害用户不能完成认证,还完全不知道是因为自己的账户信息被篡改了。
1、录入身份信息做校验~~~ 2、服务器做用户权限控制~~ 3、服务器对用户提交数据做防篡改校验~~~ https≠铜墙铁壁~~亲~~