华夏基金用户账号安全隐患可获取到基金交易等敏感信息通过一些手段,在知道身份证号码情况下,获取到基金交易等敏感信息。比较不走运的是似乎这个bug没有波及到微信。。。。
通过ios版本华夏基金管家--账户查询--忘记密码功能
通过身份证号、“我不知道基金帐号”以及验证码,
利用穷举基金名称(大部分人都有货币基金吧)、销售机构(直销的、主要银行)即能重置密码
1.穷举的难度并不难,因为往往一个人购买多种基金、在多个销售机构购买,因而极易引起碰撞
2.验证码只需要在第一日输入成功即可永久使用,此时可以通过重放,快速穷举
通过流量分析,能好简单地弄成攻击脚本逐个身份证号去穷举
这个是入口
这个是附加码错误的标志
这个是附加码正确的标志
附加码重复正确输入仍然有效,注意最顶的时间差别
密码重置成功
看到了吧。。。。
交易信息
修复方案:
1.修正验证码漏洞,但似乎验证码被破不难
2.不要那么容易就被别人穷举掉
3.重视个人隐私,请贵厂使用ssl加密
版权与免责声明:
凡注明稿件来源的内容均为转载稿或由网友用户注册发布,本网转载出于传递更多信息的目的;如转载稿涉及版权问题,请作者联系我们,同时对于用户评论等信息,本网并不意味着赞同其观点或证实其内容的真实性;