中兴某子公司商城APP应用任意用户密码重置及越权访问大量敏感信息

http://www.zteup.com/view/toindex

中兴尚品网，一个购物网站，该网站的APP应用存在诸多问题，泄露大量敏感信息，任意用户密码重置。

扫描下图的二维码就可以下载该APP：

#首先说说越权访问,存在问题的接口

/buyer/after/buyer/tomodifybuyer
/buyer/after/buyer/showbuyer
/buyer/after/receiveaddress/getreceiveaddresslist

Host:app.zteup.com:8070

这里拿获取信息最多的/buyer/after/receiveaddress/getreceiveaddresslist接口举例：

通过遍历ID号可以查看用户的姓名，电话号码，收货地址，身份证号码，高清身份证照片等：

 

上面的图片中通过遍历ID返回的消息中含有图片的URL链接，但是在前面拼接http://app.zteup.com:8070/是没办法访问的，那就在找找图片在哪，再去拦截一下请求身份证图片的HTTP消息：

发现HOST是在http://img3.zteup.com，那么身份证的地址是在：
 

http://img3.zteup.com/upload/20150211110753964528486.jpg

 

 

http://img3.zteup.com/upload/20150204170007915167538.jpg

 

#再说说任意用户密码重置的设计缺陷，该APP找回密码的逻辑是（1）输入你的手机号，系统向你的手机号发送验证码

（2）输入你收到的验证码，如果正确就跳转到修改密码的页面

（3）输入新密码，提交进行修改。

由于在第三步缺乏验证，导致获取到了修改密码的接口后能重置任意密码。

输入新密码提交更改后会拦截如下HTTP消息：

这就是修改密码的接口，没有校验的，可以改修account为任意账户进行密码修改。

实在是没有多的手机号码，这里稍稍那个啥一下，把上面的某个号拿来试试，这里麻烦他自己再找回来就行了:

登陆APP去看一眼：

 

解决方案：

校验~