交友约会神器 哈哈
1 任意手机注册 手机动态码可遍历得到(手机号未注册) 打开软件 提示各种登录方式,我们选手机或邮箱登录,然后再选忘记密码 这么牛X得手机号竟然没有注册
好吧,我来注册下
提示输入四位动态验证码
随便输入下
抓包 然后暴力破解 1111 - 9999
还挺快 出来了
2 重置用户密码 第一个得时候 在手机号未注册时会提示让其注册,但是已经注册得手机号 会下发 6位动态验证码 同样对错误提交次数没有验证,导致可暴力破解得到 电脑太烫了 不跑了
3 个人账户无限刷金币 ,支付得 漏洞 在app端 (web端做了验证,app就不做了嚒) 购买金币处,对支付金额做了验证,但是没有验证金币数目,
点击购买第一个12元 1200金币 抓包修改金币数120000
继续支付, 成功了
修复方案:
增加动态验证码错误次数 支付加强验证
查看更多关于美丽约多处业务安全漏洞(任意密码修改、刷金的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did15189