安全测试小组首先对协议安全进行了安全测试,手机客户端采用的HTTP协议,通过https/http代理拦截技术可以劫持请求,通过WIRESHARK基于端口的嗅探可抓取明文数据。
通讯安全
1、登录数据传输测试
通过对登陆过程进行抓包,发现数据采用明文方式进行传输,未对用户名及密码进行加密,可以通过嗅探获取账户密码
2、查询功能
查询框未对长度进行限制,且未对查询信息进行加密。
在查询框中,输入长字符,通过burp suite对会话进行劫持,发现提交给服务器的数据并没有对输入字符长度做限制,并且未对查询信息进行加密
功能安全
1、短信DDOS攻击
在注册新用户时,需要向指定手机发验证码,发送验证码后,需要等待180s才能再次发送,且注册过的手机号,无法发送验证码。但这只是在前端做了限制,通过劫持通讯数据方法,可以造成短信DDOS攻击。
通过burp suite进行劫持,可以修改phoneNum为任意手机号码(包括以前注册过的手机号),重复提交该会话,系统会不停的给客户手机发验证码,这对客户造成一定影响。
2、获取大量临时体验卡
每个账户只能申请一次临时体验卡,当用户填写相关信息,收到激活码后,用户再次点击48小时临时体验,将会返回“尊敬的用户,您已经免费体验过银卡功能”,但是通过在第一次申请临时体验卡时,对通讯数据进行劫持,并反复提交该会话,服务器会返回不同的激活码,这些激活码可以在任何时间,给任何一个普通用户提升到银卡权限。这样就可以使用户一直可以拥有银卡权限,还可以给其它未填写相关信息用户提升到银卡权限。
3、查看未展示的文件资料
可以查看一些关于基金的介绍,任意打开一项文件资料,修改docID为其它值,提交回话,这时会返回另一篇文件资料,而该文件资料经查询未在基金学院中显示,因此可以利用该漏洞,查看任意文件资料,可能会造成敏感信息泄露。
4、多个账号绑定一个手机号
在账户中心中的绑定手机号功能,在该功能中,输入一个已注册的手机号,会提示该手机号已注册,并无法发送验证码。但是通过输入一个未注册的手机号,在获取验证码时进行劫持,修改手机号为已注册的手机号,把输入框中改为已注册手机号,并提交会话,会在已注册的手机号中收到验证码,这时客户端会自动给服务器发送验证手机号请求,劫持修改请求中手机号为未注册手机号,并提交。输入验证码,点击确定,发现手机绑定成功,这样可以实现多个账号绑定同一手机号。
网友评论