漏洞标题 P2p每个人的贷款应用程序有几个安全问题 相关制造商 人人贷款 漏洞作者 Chaoxilab 提交时间 2016-04-28 19: 09 公共时间 2016-06-13 11: 20 漏洞类型 设计缺陷/逻辑错误 危险等级 高 自我评估等级 12 漏洞状态 制造商已确认 标签标签 检查旁路,手势密码,拒绝服务 漏洞详细信息 漏洞证明: 版本号:3.3.0 首先,app完整性检查绕过 在安全检查中,发现客户端的Android版本具有完整性检查机制。 客户将有一个退出。经过进一步分析,它发现libs.so中有一个验证过程。既然如此不保护壳, 反汇编后,验证码一目了然,如下图所示:
上图显示了验证完整性密钥代码。
在第二个包之后,将0更改为1,程序正常运行。 二,修改手势密码网络检查旁路 如果用户需要修改手势密码,他/她需要输入登录密码才能从服务器请求。不知道登录密码, 您可以直接调用Set Gesture Password页面进行任何密码设置。
上图显示了手势密码修改和登录密码验证。
上图是请求服务器验证当前用户的登录密码通信数据。
上面的图片设置为直接调用设置的手势密码。 三,客户端登录绕过 切换页面后,当您返回应用程序时,需要验证手势密码。您也可以通过直接调用该页面来绕过验证。 如果您返回主页面,请致电com.renrendai.finance.activity.main.MainTabActivity
第四,拒绝服务 当一些页面被外部调用时,应用程序将崩溃并可能被竞争对手用来影响用户体验。
调用此页面时程序崩溃 修理计划: 你更专业! 版权声明:请注明来源chaoxilab @乌云