[负责任的披露]我如何通过其他用户帐户预订电影票

注意:该漏洞已报告,现已修复。

AGS电影院 是泰米尔纳德邦金奈著名的剧院之一。 他们去年推出了自己的电影票预订网站和应用程序。

这篇文章是关于我在AGS Cinemas上发现的一个简单漏洞,我可以使用它轻松地入侵其他用户的帐户,而无需任何用户交互。

通过设置新密码,我可以完全访问其他用户帐户。 我能够查看机票历史记录,他们的信用钱包和其他私人信息。

MacAppStudioAGS Cinemas的技术合作伙伴的首席执行官 Suresh Kumar迅速承认并解决了此问题。 有很多像他这样谦虚的人会接受这类安全漏洞,因为许多人未经我的允许就会在测试他们的网站时遇到我。

每当用户在AGS Cinemas上忘记密码时,他们都可以通过在“忘记密码”弹出窗口中输入电话号码来重置密码。

然后,AGS Cinemas将向该电话号码发送一个四位数的密码,用户必须输入该密码才能设置新密码。

我试图在www.agscinemas.com上强行使用4位代码( 例如3286 ),即使经过5-6次无效尝试也没有被阻止。 有趣的是,忘记密码端点缺少速率限制。

我试图接管自己的帐户,并成功为我的帐户设置了新密码。 然后,我可以使用相同的密码登录到自己的被黑帐户。

正如您在视频中看到的那样,我可以通过强行强制发送给用户电话号码的代码来为用户设置新密码。

POST /php/otpverify.php HTTP/1.1

Host: www.agscinemas.com

mobile=XXXXXXXXXX&randomnums=XXXX

蛮力成功地强制“随机数”使我能够为任何AGS Cinemas帐户设置新密码。

2018年2月21日:发现错误。

2018年2月22日:将报告发送给MacAppStudio团队。

2018年2月23日:获得CEO的认可。

2018年2月24日:问题已从其角度解决。

感谢您阅读🙌🏼。 如果您觉得本文有用,请使用👏按钮鼓掌并在我们的圈子中分享。