Moonpig是英國知名賀卡公司。您可以使用他們的服務向您的朋友和家人發送個性化賀卡。 [保羅]決定在MoonPig Android應用程序及其API之間進行一些挖掘並發現了一些安全漏洞。 首先,[保羅]注意到該系統正在使用基本身份驗證。這不理想,但該公司至少使用SSL加密來保護客戶憑據。在解碼身份驗證標題後,[保羅]注意到了一些奇怪的東西。使用每個請求發送的用戶名和密碼不是他自己的憑據。他的客戶ID在那裡,但實際證書錯了。 [Paul]創建了一個新帳戶,發現憑據是一樣的。通過修改其第二個帳戶的HTTP請求中的客戶ID,他能夠欺騙網站吐出他第一個帳戶的所有已保存的地址信息。這意味著根本沒有身份驗證。任何用戶都可以冒充另一個用戶。拉動地址信息可能聽起來不像是一個大問題,而是[保羅]聲稱每個API請求都是這樣的。這意味著您可以在未經他們同意的情況下在其他客戶賬戶下放置訂單。 [Paul]使用MoonPig的API幫助文件來定位更有趣的方法。一個站在他身上的人是GetCreditCardDetails方法。 [保羅]給了它拍攝,並確保系統傾倒出信用卡詳細信息,包括卡的最後四位數字,到期日,以及與卡相關聯的名稱。它可能不是完整的卡號,但這仍然是一個非常重要的問題,即立即固定……對嗎? [保羅]在2013年8月披露了負責任的脆弱性。Moonpig通過說出問題是由於遺產守則而且它將立即解決。一年後,[保羅]跟進月亮看。他被告知應該在聖誕節前得到解決。 2015年1月5日,漏洞仍未解決。 [保羅]決定夠了,他也可以在線發布他的發現來幫助新聞問題。它似乎有效。 MoonPig已禁用其API並通過Twitter發布了聲明,聲稱,“所有密碼和付款信息都是安全的”。這很棒,所有人,但如果密碼實際上很重要,那麼它就意味著更多。