当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-032655

漏洞标题:再发支付宝任意用于姓名读取漏洞

相关厂商:支付宝

漏洞作者: 最热微博

提交时间:2013-07-29 15:19

修复时间:2013-09-12 15:19

公开时间:2013-09-12 15:19

漏洞类型:重要敏感信息泄露

危害等级:中

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-07-29: 细节已通知厂商并且等待厂商处理中
2013-07-29: 厂商已经确认,细节仅向厂商公开
2013-08-08: 细节向核心白帽子及相关领域专家公开
2013-08-18: 细节向普通白帽子公开
2013-08-28: 细节向实习白帽子公开
2013-09-12: 细节向公众公开

简要描述:

支付宝某缴费业务可以读取用户的姓名。

详细说明:

首先选择缴费,例如缴水费,

QQ截图20130729093213.png


选择“创建并用手机付款”,就会生成缴费订单,接着返回缴费的主页面,就会显示全称。

QQ截图20130729093526-1.png


至于怎么得到缴费号码,每户门口都有小牌子贴着。

漏洞证明:

QQ截图20130729093526-1.png

修复方案:

相信你们的团队会修补的。

版权声明:转载请注明来源 最热微博@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2013-07-29 15:32

厂商回复:

非常感谢最热微博的反馈,已在进行处理

最新状态:

暂无