华瑞银行微信小程序会员签到存在漏洞(无限刷金豆)

华瑞银行微信小程序会员签到存在漏洞(无限刷金豆)

会员签到API:https://mps.shrbank.com:15443/portal/SignInSend.do

会员签到的这个API没有鉴权(无token,cookie等参数校验,同域名其他接口存在类似问题),且GuIdcifSeq参数没有进行绑定,因此可以使用别人的账号(GuId)进行签到,而签到金豆发放到同一个账号(cifSeq),达到刷金豆的目的。

漏洞详情

  1. 通过暴力尝试,获取一批有效的GuId

    image-20230427022411812

    image-20230427022443322

  2. 发送签到请求,将GuId设置为上一步获取到的GuId,同时修改SendJnlNo,确保SendJnlNo的唯一性。

    签到请求:

    image-20230427022726671

    签到成功:

    金豆明细:

    image-20230427023030755

修复建议

  1. https://mps.shrbank.com:15443/*需要添加身份校验(添加token)。
  2. 取消签到中的GuIdcifSeq等参数,后端使用token在数据库中获取。

联系方式

E-mail: iam@zhighest.com

微信:

image-20230427024111854