爱丽团购给任意用户绑定任意手机 - 网站安全

爱丽团购，由于没有限制用户权限，可以给任意用户绑定到任意手机，解除任意用户已绑定的任意手机号码被比人绑定，而且还修改了用户的账户信息，挺严重的。

 

测试环境：

0、首先看看我们要攻击的对象xfkxfk是没有绑定手机的：

 

 

1、我们用tester账户进行手机绑定，在这之前我们先看看他的user_id为2856430。

 

 

2、现在开始为tester绑定手机号码：

 

3、截包看看请求数据：

 

 

 

4、修改用户的user_id为2837024后，再发送请求，验证码成功发送到手机上:

 

 

5、在输入手机验证码是截包，在看到发送的请求中的user_id为我们修改后的xfkxfk的user_id:2837024，这里的手机验证码是716392：

 

 

6、界面上看到成功绑定手机：

 

 

7、我们来看看用户xfkxfk成功绑定了我们输入的手机号码：

而且从用户的账户信息中也能看到用户的联系方式，手机号码 编程 了我们绑定的手机号码，而且现象被置灰，是不能修改的：

 

 

 

8、====================================================

危害：

1、这里我只是那两个用户测试了一下，也用了自己的手机号码，可以为任意用户绑定这个手机号码，而且当我的手机号码被用户A绑定后，还可以被用户B绑定，从而用户A的绑定解除。

2、我也可以使用任意手机号码，因为这里的手机验证码是6位随机数，没有次数和时间限制，太给力了，输入任意手机号码，暴力 破解 6位验证码太快了。

3、这样一来我们就可以为任意用户绑定任意手机号码了，还能任意解除绑定的号码。

4、还修改了用户的联系方式。

5、危害杠杠的。。。

6、求礼物啊。。。 

修复方案：添加用户权限控制。

设置验证码验证次数

 

查看更多关于爱丽团购给任意用户绑定任意手机 - 网站安全的详细内容...