一、关键数据(登录、注册、支付)明文数据传输
1、说明:应用程序在登录过程中,使用http协议明文传输用户名和密码,并未对用户名和密码进行加密处理。通过监控网络数据就可以截获到用户名和用户密码数据,导致用户信息泄露,给用户带来安全风险。
2、
(1)安卓手机app选择支付宝支付 > 点击“支付宝支付”,然后点击“返回” > 调用鹏云课堂支付失败的接口(修改订单的接口updatePurchaseOrderPay)
接口参数说明:
(1)status :支付状态(0未支付,1第三方成功,2第三方失败,3完成,4api失败)
(2)payType: 支付方式(1支付宝,2微信,3大麦支付宝,4大麦微信,5麦粒,6盒子未知)
http://pcloud-sit.pbsedu.com/interface/EduInterface.php
{
“Parameters”: “{“purchaseId”:”201611291115165425”,”status”:2,”type”:1,”platType”:”Mobile”,”orderId”:”201611291115165425”}”,
“Handler”: “updatePurchaseOrderPay”,
“Module”: “Common”
}
3、建议:在传输敏感信息时应对敏感信息进行加密处理,第三条(3)如果用户未支付,执行updatePurchaseOrderPay 接口,将参数status=2 改成 status=1,此时订单信息将会被改成成功的订单。
(2)更改用户密码:旧密码和新密码明文传输。
http://api-sit.pbsedu.com/interface/EduInterface.php
{
“Parameters”: “{“password1”:”222222”,”password”:”111111”,”userId”:”10684761”,”platType”:”Mobile”}”,
“Handler”: “changePwd”,
“Module”: “boxLogin”
}
(3)生成订单的关键数据明文传输
http://api-sit.pbsedu.com/interface/EduInterface.php
{
“Parameters”: “{“payType”:1,”price”:”199”,”terminal”:3,”userId”:”10684761”,”platType”:”Mobile”}”,
“Handler”: “addPurchaseOrder”,
“Module”: “Common”
}
二、找回密码篡改密码、使用任意帐号注册、未购买成功确成功关联Vip手机号。
(1)找回密码,篡改用户密码。
http://api-sit.pbsedu.com/interface/EduInterface.php
{
“Parameters”: “{\”tokenStr\”:\”15010074631-732549-1480390315-d53f299ca90db3a9103ebb2ae6e5267d9e01853f\”,\”password\”:\”111111\”,\”platType\”:\”Mobile\”}”,
“Handler”: “forgetPwd”,
“Module”: “boxLogin”
}
(2)任意账号注册
使用手机号15010074631注册某个APP,获取验证码46908;
在确认提交时,拦截请求,修改注册的手机号码,即可注册任意账号,这里修改为13581611313(任意手机号);
分别使用15010074631和13581611313(任意手机号)登录,均可以通过验证登录,看到最终结果。
建议:注册过程最后的确认提交时,服务器应验证提交的账号是否是下发验证码的手机号。
(3)用户未登录购买的vip,之后注册或登录,将手机号和vip帐号进行关联(ios客户端、大麦盒子)
采用任意帐号注册的方式,也可以实现没有购买,成功绑定Vip。
三、安卓手机漏洞检测
(1)Allowbackup漏洞
AndroidManifest.xml文件中allowBackup属性值被设置为true。当allowBackup标志为true时,用户可通过adb backup来进行对应用数据的备份,在无root的情况下可以导出应用中存储的所有数据,造成用户数据的严重泄露。
建议改成:
将参数android:allowBackup属性设置为false,不能对应用数据备份。
(2)webview漏洞
webview远程代码执行漏洞(1个)
addJavascriptInterface存在高危远程代码执行漏洞,应尽量避免使用,API 17中用@JavascriptInterface 代替addjavascriptInterface;移除系统webkit内置的危险接口searchBoxJavaBridge_,accessibility,ac cessibilityTraversal
建议:
应尽量避免使用,API 17中用@JavascriptInterface 代替addjavascriptIn terface;移除系统webkit内置的危险接口searchBoxJavaBridge_,access ibility,accessibilityTraversal
四、数据安全:
(1)用户在登录的情况下,可以通过抓包工具可以很容易的获取到所有的课件信息(Vip的课件和免费课件),课件信息传播性强,没有任何限制。
http://pcloud-sit.pbsedu.com/interface/EduInterface.php
{
“Parameters”: “{\”courseId\”:\”HSNVC813\”,\”platType\”:\”Mobile\”}”,
“Handler”: “getVipCourseVideoList”,
“Module”: “Course”
}
(2)播放视频,统计机构的播放量,计算分成。此接口如果频繁用接口调用会导致播放量猛增。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
