早期App安全测试暴露的问题

安全测试小组首先对协议安全进行了安全测试，手机客户端采用的HTTP协议，通过https/http代理拦截技术可以劫持请求，通过WIRESHARK基于端口的嗅探可抓取明文数据。

通讯安全

1、登录数据传输测试
通过对登陆过程进行抓包，发现数据采用明文方式进行传输，未对用户名及密码进行加密，可以通过嗅探获取账户密码

2、查询功能
查询框未对长度进行限制，且未对查询信息进行加密。
在查询框中，输入长字符，通过burp suite对会话进行劫持，发现提交给服务器的数据并没有对输入字符长度做限制，并且未对查询信息进行加密

功能安全

1、短信DDOS攻击
在注册新用户时，需要向指定手机发验证码，发送验证码后，需要等待180s才能再次发送，且注册过的手机号，无法发送验证码。但这只是在前端做了限制，通过劫持通讯数据方法，可以造成短信DDOS攻击。
通过burp suite进行劫持，可以修改phoneNum为任意手机号码（包括以前注册过的手机号），重复提交该会话，系统会不停的给客户手机发验证码，这对客户造成一定影响。

2、获取大量临时体验卡
每个账户只能申请一次临时体验卡，当用户填写相关信息，收到激活码后，用户再次点击48小时临时体验，将会返回“尊敬的用户，您已经免费体验过银卡功能”，但是通过在第一次申请临时体验卡时，对通讯数据进行劫持，并反复提交该会话，服务器会返回不同的激活码，这些激活码可以在任何时间，给任何一个普通用户提升到银卡权限。这样就可以使用户一直可以拥有银卡权限，还可以给其它未填写相关信息用户提升到银卡权限。

3、查看未展示的文件资料
可以查看一些关于基金的介绍，任意打开一项文件资料，修改docID为其它值，提交回话，这时会返回另一篇文件资料，而该文件资料经查询未在基金学院中显示，因此可以利用该漏洞，查看任意文件资料，可能会造成敏感信息泄露。

4、多个账号绑定一个手机号
在账户中心中的绑定手机号功能，在该功能中，输入一个已注册的手机号，会提示该手机号已注册，并无法发送验证码。但是通过输入一个未注册的手机号，在获取验证码时进行劫持，修改手机号为已注册的手机号，把输入框中改为已注册手机号，并提交会话，会在已注册的手机号中收到验证码，这时客户端会自动给服务器发送验证手机号请求，劫持修改请求中手机号为未注册手机号，并提交。输入验证码，点击确定，发现手机绑定成功，这样可以实现多个账号绑定同一手机号。