Hackone案例之n添加或刪除新的非首選付款方式不會觸發電子郵件或帳戶通知

原文URL：

https://hackerone.com/reports/242964

漏洞很簡單，hackerone官方就給回復了一句話。

雖然我們再用戶提交付款方式時向用戶發送電子郵件，但是再他們的首選付款方式被修改時，我們未發送通知。這份報告指處了這個疏忽。

雖然很簡單的一個漏洞，但是也給了500美刀。下面，我來分享這個漏洞。

經過3個月的討論，hackerone給了賞金，再過3個月，這個漏洞被公開。

由此可以看見，這個漏洞也是再hackerone內部被討論了很多次。雖然看不見他們討論了什麼，但是，可以猜測。應該是利用方式（難度），漏洞危害等。說白了就是對CIA的評估。

那麼我們現在換一個角度，設想一個漏洞利用的場景。

一個金融公司，他們的廠商存在這個漏洞。

現在，一個黑客，通過社會工程/其他手段，得到了客戶的賬號密碼。

當黑客擁有了你的賬號，提現賬號餘額的時候，還是只能提現到你的銀行卡。國內現在P2P金融包括微信理財皆用的此種方式。

假如黑客現在利用這個漏洞，黑客添加了第二個提現方式，而你還是一臉懵逼的，你完全不知道你的賬號被修改了。

而廠商完全沒有對你發出提醒，將會導致你的餘額就被全部轉走了。

這個時候，如果你去起訴這個公司，我覺得，勝算是很大的。

所以，在我們看來：即使這個漏洞利用難度大，而且是很小的一個點，很小的一個細節。

不由讓人產生出這玩意居然還能給錢的感覺.....

但是在業務流程領域，同樣存有安全風險，而這類風險無法通過掃描器的方式判斷。

農夫線下第二期招生中，2018年2月28日開課，我們可是天天都上課哦～

更多詳情請訪問：http://www.farmsec.com