交友约会神器 哈哈

1 任意手机注册 手机动态码可遍历得到(手机号未注册)

打开软件 提示各种登录方式，我们选手机或邮箱登录，然后再选忘记密码

这么牛X得手机号竟然没有注册
 

好吧，我来注册下


 

提示输入四位动态验证码


 

随便输入下


 

抓包 然后暴力破解 1111 - 9999


 

还挺快 出来了


 

2 重置用户密码



第一个得时候 在手机号未注册时会提示让其注册，但是已经注册得手机号 会下发 6位动态验证码 同样对错误提交次数没有验证，导致可暴力破解得到



电脑太烫了 不跑了


 

3 个人账户无限刷金币 ，支付得漏洞在app端 （web端做了验证，app就不做了嚒）



购买金币处，对支付金额做了验证，但是没有验证金币数目，


 

点击购买第一个12元 1200金币 抓包修改金币数120000


 

 

继续支付， 成功了


 

 

修复方案：

增加动态验证码错误次数



支付加强验证