精选国内外互联网行业最新文章及报告,让网友获得最新的海内外互联网动态
当前位置:主页 > 互联网 > 网络安全 >

美丽约多处业务安全漏洞(任意密码修改、刷金币等)

2015-01-20 11:41 来源: 编辑:admin

交友约会神器 哈哈

1 任意手机注册 手机动态码可遍历得到(手机号未注册)

打开软件 提示各种登录方式,我们选手机或邮箱登录,然后再选忘记密码

这么牛X得手机号竟然没有注册
 

zhuce1.PNG





好吧,我来注册下


 

zhuce2.PNG





提示输入四位动态验证码


 

zhuce3.PNG





随便输入下


 

zhuce4.PNG





抓包 然后暴力破解 1111 - 9999


 

注册1.png







还挺快 出来了


 

注册2.png







2 重置用户密码



第一个得时候 在手机号未注册时会提示让其注册,但是已经注册得手机号 会下发 6位动态验证码 同样对错误提交次数没有验证,导致可暴力破解得到



电脑太烫了 不跑了


 

找回密码.png







3 个人账户无限刷金币 ,支付得漏洞在app端 (web端做了验证,app就不做了嚒)



购买金币处,对支付金额做了验证,但是没有验证金币数目,


 

IMG_0056.PNG





点击购买第一个12元 1200金币 抓包修改金币数120000


 

IMG_0054.PNG






 

支付绕1.png





继续支付, 成功了


 

支付绕2.png






 

QQ20140901-1@2x.png

修复方案:



增加动态验证码错误次数



支付加强验证

标签
返回首页
扫描微信
返回顶部