账户登录接口控制不严导致信息可能泄露

合拍在线移动端http://m.he-pai.cn/login/logining 用于对post提交的用户名和密码等信息进行验证,但存在控制不严,可以进行不限次数的登录尝试,导致可以利用社工库进行密码撞库攻击。从而导致账户被控制。

 

下午下载某涯较早的库,随机选则了1w个密码,通过网页投资页面或者第三点提供的用户名大概100名进行撞库破解。发现至少有2名密码可以被破解。登录其中一名进行下一步实验。

wvs.jpg

由上一部获取用户名和密码在电脑端正常登录,在该URL:http://www.he-pai.cn/phone/memberCenter/selphongbinding.do 本应隐藏的手机号码信息竟然通过查看源文件可直接获取。同理

http://www.he-pai.cn/bank/memberCenter/selbank.do 本应隐藏的银行卡号码信息可通过查看源文件可直接获取。

至此,此人除身份证外的其他隐私信息均可成功获取!

手机泄露.png

银行卡泄露.png

资金流水.png

(此缺陷他们技术人员认为无关紧要,重要程度与否仁者见仁,该明细表本不应公开也不能公开至少得打星号。)

http://www.he-pai.cn/lntpayplandetail/memberCenter/selContract.do 为合同调用接口,该接口似乎判断了用户的cookie,但仍未对该接口进行控制,从而可获取用户投资过的借款标中的《出借人及出借金额明细表》(仅限于该用户有投资过该标才能显示),该明细表中详细记录了该标的所有投资人真实姓名、用户名、身份证、投资金额等一系列隐私数据。
http://www.he-pai.cn/lntpayplandetail/memberCenter/selContract.do?CN_FL_NO=CTxxxxxxxxxxxxxx&CN_STS=0

该接口接收CN_FL_NO参数为CT后14位数字,通过简单的判断,即可知道《明细表》所在的大致范围。通过小软件批量提交该范围的URL即可获取该《明细表》

这里给出两个《明细表》
合拍标号:201410150017 http://www.he-pai.cn/investmentDetail/investmentDetails/view.do?ln_no=JK14101500897668

 

个人信息.png

可利用明细表对指定人进行撞库,凡是成功者,该用户隐私尽失。可能危及到资金安全,并可被买卖形成新的社工库。