漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-053021
漏洞标题:华夏基金用户账号安全隐患可获取到基金交易等敏感信息
相关厂商:华夏基金
漏洞作者: fbi007130
提交时间:2014-03-07 13:33
修复时间:2014-04-21 13:34
公开时间:2014-04-21 13:34
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-03-07: 细节已通知厂商并且等待厂商处理中
2014-03-12: 厂商已经确认,细节仅向厂商公开
2014-03-22: 细节向核心白帽子及相关领域专家公开
2014-04-01: 细节向普通白帽子公开
2014-04-11: 细节向实习白帽子公开
2014-04-21: 细节向公众公开
简要描述:
通过一些手段,在知道身份证号码情况下,获取到基金交易等敏感信息。比较不走运的是似乎这个bug没有波及到微信。。。。
详细说明:
通过ios版本华夏基金管家--账户查询--忘记密码功能
通过身份证号、“我不知道基金帐号”以及验证码,
利用穷举基金名称(大部分人都有货币基金吧)、销售机构(直销的、主要银行)即能重置密码
1.穷举的难度并不难,因为往往一个人购买多种基金、在多个销售机构购买,因而极易引起碰撞
2.验证码只需要在第一日输入成功即可永久使用,此时可以通过重放,快速穷举
通过流量分析,能好简单地弄成攻击脚本逐个身份证号去穷举
漏洞证明:
这个是入口
这个是附加码错误的标志
这个是附加码正确的标志
附加码重复正确输入仍然有效,注意最顶的时间差别
密码重置成功
看到了吧。。。。
交易信息
修复方案:
1.修正验证码漏洞,但似乎验证码被破不难
2.不要那么容易就被别人穷举掉
3.重视个人隐私,请贵厂使用ssl加密
送份小礼物可以吗
另外。。。乌云提交漏洞页面切换的时候有两个list点不到,需要刷新后才能用。。。麻烦na
版权声明:转载请注明来源 fbi007130@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2014-03-12 15:04
厂商回复:
CNVD未直接复现,已经转由CNCERT向证券行业信息化主管部门转报,由其后续协调软件管理厂商处置。
最新状态:
暂无