金蝶随手记某接口限制不严可撞号可暴力破解

### 简要描述： 随手记iOS客户端API限制不严，可撞号或暴力破解。 ### 详细说明： 直接从网站http://www.feidee.com/money/登陆是有一定限制的，错误几次就会提示禁止登陆。 但是iOS客户端API无限制，可以直接扫号和暴力破解。 随便找了个数据库，10分钟扫到5000枚账号,试了几个号，部分是VIP会员。 密码SHA1 : ### 漏洞证明： [<img src="https://images.seebug.org/upload/201409/23160241a0450636c27e11669a7c8d4fc8d1560c.png" alt="09145757ab499810878e2bc49e3cd72c4f18f59f.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/23160241a0450636c27e11669a7c8d4fc8d1560c.png) [<img src="https://images.seebug.org/upload/201409/23160327be3e523238e5d93e550c752127d69fcd.png" alt="091458548e166794104691998c9de7ec7dfd7427.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/23160327be3e523238e5d93e550c752127d69fcd.png) 可查看他人收支明细： [<img src="https://images.seebug.org/upload/201409/23160350e71b14e33b46cf7e9fbb01f87274931c.png" alt="09145946e066aa7d207dbe060be74ad2473d9622.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/23160350e71b14e33b46cf7e9fbb01f87274931c.png)