有利网某业务逻辑漏洞导致可无限刷红包(红包可用于投资)

2015-05-17 3,029
漏洞标题 有利网某业务逻辑漏洞导致可无限刷红包(红包可用于投资)
相关厂商 yooli.com
漏洞作者 路人甲
提交时间 2014-12-30 19:19
公开时间 2015-01-04 19:20
漏洞类型 账户体系控制不严
危害等级
自评Rank 20
漏洞状态 漏洞已经通知厂商但是厂商忽略漏洞
Tags标签 有利网刷钱漏洞

漏洞详情

通过自己的邀请链接,在有利网注册,自己就可以获得50红包,好处多多,结合有利网任意手机号码注册就可以刷钱了

注册页面,手机号填写自己手机号码,提交

y2.jpg

收验证码页面

y3.jpg

填写收到的验证码,提交,拦截,手机号码修改成任意号码,我填写的是12312312111

y4.jpg

注册成功

y6.jpg

我收到的红包

y9.jpg

可无限刷,红包可以使用

漏洞证明:

注册页面,手机号填写自己手机号码,提交

y2.jpg

收验证码页面

y3.jpg

填写收到的验证码,提交,拦截,手机号码修改成任意号码,我填写的是12312312111

y4.jpg

注册成功

y6.jpg

我收到的红包

y9.jpg

可无限刷,红包可以使用

修复方案:

服务端做验证

版权声明:转载请注明来源 路人甲@乌云

Tags:
评论  (0)
快来写下你的想法吧!

Chloe O_o

文章数:38600 积分: 0

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号