p2p人人贷app几种安全问题

  • 内容
  • 相关

漏洞详情

披露状态:

 

2016-04-28: 细节已通知厂商并且等待厂商处理中
2016-04-29: 厂商已经确认,细节仅向厂商公开
2016-05-09: 细节向核心白帽子及相关领域专家公开
2016-05-19: 细节向普通白帽子公开
2016-05-29: 细节向实习白帽子公开
2016-06-13: 细节向公众公开

简要描述:

人人贷WE理财(Wealth Evolution 简称WE.COM),人人贷旗下理财品牌 ;中国AAA级个人金融信息服务平台,
互联网AAA级信用企业,以透明、高效、可靠的口碑赢得260万注册用户,1.3亿美元融资,交易额150亿元,
2016年3月完成民生银行资金存管,是国内少数真正完成资金存管平台之一。

详细说明:

 

漏洞证明:

版本号:3.3.0



一、app完整性校验绕过

安全检测中发现人人贷Android版本客户端具有完整性校验机制,通过修改app二次打包安装运行时,

客户端会有退出情况,进一步分析后,发现在libs.so中具有校验流程,由于so未进行加壳保护,

反汇编后,校验代码一目了然,如下图:

21.png



22.png



上图为校验完整性关键代码

23.png



把0改成1,二次打包后,程序正常运行



二、修改手势密码网络校验绕过

用户如需要修改手势密码,需要输入登录密码向服务端请求,在不知道登录密码的情况下,

可直接调用设置手势密码页面,进行任意密码设置

pwd1.png



上图为手势密码修改与登录密码验证

pwd2.png



上图为向服务端请求校验当前用户的登录密码通讯数据

pwd3.png



pwd4.png



上图为直接调用设置手势密码进行设置



三、客户端登录绕过

页面切换后,重新回到应用时,需要校验手势密码,此时也可通过直接调用页面绕过该校验,

如回到主页面,则调用com.renrendai.finance.activity.main.MainTabActivity

pwd5.png



pwd6.png



pwd7.png





四、拒绝服务

某些页面在外部调用时,会令应用崩溃,可能会被竞争对手利用,影响用户体验

pwd8.png



pwd9.png



调用该页面时,程序崩溃

修复方案:

你们更专业!

版权声明:转载请注明来源 chaoxilab@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2016-04-29 11:10

厂商回复:

多谢,我们会马上跟进问题。

最新状态:

暂无


本文标签:

版权声明:若无特殊注明,本文皆为《安三》原创,转载请保留文章出处。『鹦鹉搜索』

百度收录:百度已收录『查看详情』

本文链接:p2p人人贷app几种安全问题 - https://www.15qq.cn/wooyun/821.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

允许邮件通知

评论

1条评论
  1. avatar

    还可以aa Lv.6 Chrome 55.0.2883.87 Chrome 55.0.2883.87 Windows 7 x64 Edition Windows 7 x64 Edition 回复

    广西 移动数据上网公共出口