中兴某子公司商城APP应用任意用户密码重置及越权访问大量敏感信息

http://www.zteup.com/view/toindex

中兴尚品网，一个购物网站，该网站的APP应用存在诸多问题，泄露大量敏感信息，任意用户密码重置。

扫描下图的二维码就可以下载该APP：

中兴某子公司商城APP应用任意用户密码重置及越权访问大量敏感信息 – 网站安全 – 自学php网插图

#首先说说越权访问,存在问题的接口

/buyer/after/buyer/tomodifybuyer
/buyer/after/buyer/showbuyer
/buyer/after/receiveaddress/getreceiveaddresslist

Host:app.zteup.com:8070

这里拿获取信息最多的/buyer/after/receiveaddress/getreceiveaddresslist接口举例：

通过遍历ID号可以查看用户的姓名，电话号码，收货地址，身份证号码，高清身份证照片等：

中兴某子公司商城APP应用任意用户密码重置及越权访问大量敏感信息 – 网站安全 – 自学php网插图1

中兴某子公司商城APP应用任意用户密码重置及越权访问大量敏感信息 – 网站安全 – 自学php网插图2

上面的图片中通过遍历ID返回的消息中含有图片的URL链接，但是在前面拼接http://app.zteup.com:8070/是没办法访问的，那就在找找图片在哪，再去拦截一下请求身份证图片的HTTP消息：

中兴某子公司商城APP应用任意用户密码重置及越权访问大量敏感信息 – 网站安全 – 自学php网插图3

发现HOST是在http://img3.zteup.com，那么身份证的地址是在：

http://img3.zteup.com/upload/20150211110753964528486.jpg

中兴某子公司商城APP应用任意用户密码重置及越权访问大量敏感信息 – 网站安全 – 自学php网插图4

http://img3.zteup.com/upload/20150204170007915167538.jpg

中兴某子公司商城APP应用任意用户密码重置及越权访问大量敏感信息 – 网站安全 – 自学php网插图5

#再说说任意用户密码重置的设计缺陷，该APP找回密码的逻辑是（1）输入你的手机号，系统向你的手机号发送验证码

中兴某子公司商城APP应用任意用户密码重置及越权访问大量敏感信息 – 网站安全 – 自学php网插图6

（2）输入你收到的验证码，如果正确就跳转到修改密码的页面

中兴某子公司商城APP应用任意用户密码重置及越权访问大量敏感信息 – 网站安全 – 自学php网插图7

（3）输入新密码，提交进行修改。

中兴某子公司商城APP应用任意用户密码重置及越权访问大量敏感信息 – 网站安全 – 自学php网插图8

由于在第三步缺乏验证，导致获取到了修改密码的接口后能重置任意密码。

输入新密码提交更改后会拦截如下HTTP消息：

中兴某子公司商城APP应用任意用户密码重置及越权访问大量敏感信息 – 网站安全 – 自学php网插图9

这就是修改密码的接口，没有校验的，可以改修account为任意账户进行密码修改。

实在是没有多的手机号码，这里稍稍那个啥一下，把上面的某个号拿来试试，这里麻烦他自己再找回来就行了:

中兴某子公司商城APP应用任意用户密码重置及越权访问大量敏感信息 – 网站安全 – 自学php网插图10

登陆APP去看一眼：

中兴某子公司商城APP应用任意用户密码重置及越权访问大量敏感信息 – 网站安全 – 自学php网插图11

校验~

本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了，原文地址《中兴某子公司商城APP应用任意用户密码重置及越权访问大量敏感信息 – 网站安全 – 自学php网》