平安证券自主开户客户端存在任意用户信息篡改漏洞

详细说明：

1、打开应用点击“马上开户”-“我知道了”，登录账户 2、未注册过的手机登录时，验证码可爆破。但是这个只是任意用户注册，是另外一个漏洞了。 3、新手机注册登录后，需要上传身份证信息，这里获取身份信息存在问题，获取不到姓名时，默认填充“姓名”，这也不是我们的关键 4、下一步填写用户资料，后抓包

5、统一协议后设置，交易密码，这里密码明文传输，也是醉了，但这个漏洞也不是重点。 6、要求录入银行卡号，再一次明文传输银行卡号，而且不验证户主信息。这个漏洞也不提。 7、下面是一个调查问卷，随便填一下，完成测评。核对信息也随便填一下“确定”。 8、太好了，抓包，看重点。这个包只在首次信息录入的时候能抓到:https://ay.pingan.com

9、burp中选中改数据包"send to Intruder"，修改包内容为目标内容

10、设置遍历user_id,当前用户user_id=3507887

11、点击右上角start attack

12、显示修改成功，为了验证修改任意用户都可以成功，所以找了两个手机号。换一个手机登陆后，不需要输入身份信息，只是密码设置、银行卡、调查问卷，然后就进入了最终视频认证界面。

13、抓包显示受害用户上传给服务器的个人信息已经被篡改了。且受害用户根本不知情，视频认证也是没有声音的。user_id=3504596

14、最终受害用户不能完成认证，还完全不知道是因为自己的账户信息被篡改了。

漏洞证明：

修复方案：

1、录入身份信息做校验~~~ 2、服务器做用户权限控制~~ 3、服务器对用户提交数据做防篡改校验~~~ https≠铜墙铁壁~~亲~~