网站地图    收藏   

主页 > 后端 > 网站安全 >

美丽约多处业务安全漏洞(任意密码修改、刷金

来源:自学PHP网    时间:2015-04-16 23:15 作者: 阅读:

[导读] 交友约会神器 哈哈详细说明: 1 任意手机注册 手机动态码可遍历得到(手机号未注册) 打开软件 提示各种登录方式,我们选手机或邮箱登录,然后再选忘记密码 这么牛X得手机号竟然没有...

交友约会神器 哈哈

1 任意手机注册 手机动态码可遍历得到(手机号未注册)

打开软件 提示各种登录方式,我们选手机或邮箱登录,然后再选忘记密码

这么牛X得手机号竟然没有注册
 

zhuce1.PNG





好吧,我来注册下


 

zhuce2.PNG





提示输入四位动态验证码


 

zhuce3.PNG





随便输入下


 

zhuce4.PNG





抓包 然后暴力破解 1111 - 9999


 

注册1.png







还挺快 出来了


 

注册2.png







2 重置用户密码



第一个得时候 在手机号未注册时会提示让其注册,但是已经注册得手机号 会下发 6位动态验证码 同样对错误提交次数没有验证,导致可暴力破解得到



电脑太烫了 不跑了


 

找回密码.png







3 个人账户无限刷金币 ,支付得漏洞在app端 (web端做了验证,app就不做了嚒)



购买金币处,对支付金额做了验证,但是没有验证金币数目,


 

IMG_0056.PNG





点击购买第一个12元 1200金币 抓包修改金币数120000


 

IMG_0054.PNG






 

支付绕1.png





继续支付, 成功了


 

支付绕2.png






 

QQ20140901-1@2x.png

修复方案:



增加动态验证码错误次数



支付加强验证

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论