当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-038387

漏洞标题:支付宝付款时密保工具(短信验证,宝令等)绕过

相关厂商:支付宝

漏洞作者: 丢小丢

提交时间:2013-09-28 10:08

修复时间:2013-09-30 11:14

公开时间:2013-09-30 11:14

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:7

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-09-28: 细节已通知厂商并且等待厂商处理中
2013-09-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

支付宝付款时,绕过密保工具(短信验证,宝令,数字证书等)的验证。

详细说明:

简单说就是
支付宝设置了支付验证密保工具,到了wap版就无验证机制了
即使用户设置了支付宝付款需要验证密保工具(比如手机验证码,宝令,动态密码,电子证书),只要先把订单提交,到验证密保这一步。
换手机上wap的支付宝,
找到未支付订单,就可以只凭支付密码完成支付。
简单的验证机制问题,
既然出了支付二次验证密保,
就应该做好,不能光在电脑上验证。
虽然说只有快捷支付和余额支付可以绕过。
但还是挺严重的问题。因为密保工具就是为了“当用户帐号密码等信息泄漏时用户账户资金安全”如果可以绕过,他们也就没有存在意义了.

漏洞证明:

简单拍下一个商品支付。

2.png


你看这里需要同时验证支付宝支付密码和宝令动态口令。关了这个页面换手机

4.png


找到这个未提交订单,页面上只有一个支付密码输入框。只凭支付宝支付密码就可进行支付。宝令之类的密保工具是不需要的。

5.png


支付成功了。
虽然不是太严重的问题,不过终究是验证体系里的短板。

修复方案:

估计是支付宝考虑到手机wap页面的限制,没法验证某些密保(比如-数字证书),就设置为只需要支付密码就可以完成支付了。这就成了验证系统里的短板。其实可以强制wap支付宝支付时,验证短信验证码。

版权声明:转载请注明来源 丢小丢@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-09-30 11:14

厂商回复:

感谢对支付宝系统安全的支持与关注。

最新状态:

暂无