当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-066932

漏洞标题:一账通某权限设置不当导致无需登录可查看任意一账通用户信息涉及(银行卡号、身份证号码、电话号码、Email等)(二)

相关厂商:平安银行

漏洞作者: loli

提交时间:2014-07-02 10:43

修复时间:2014-08-16 10:44

公开时间:2014-08-16 10:44

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-07-02: 细节已通知厂商并且等待厂商处理中
2014-07-07: 厂商已经确认,细节仅向厂商公开
2014-07-17: 细节向核心白帽子及相关领域专家公开
2014-07-27: 细节向普通白帽子公开
2014-08-06: 细节向实习白帽子公开
2014-08-16: 细节向公众公开

简要描述:

平安银行一账通通过一个账户、一套密码管理多个平安账户及平安集团业务(其实就相当于单点登录)
由于某功能设计不当导致可查看任意账户信息(银行卡号、身份证号码、联系地址,电话号码、Email等);
(图多,建议在WIFI环境下浏览)

详细说明:

由于某功能设计不当导致可查看任意账户信息(银行卡号、身份证号码、联系地址,电话号码、Email等);

1.通过登录界面可知道一账通支持:用户名(含深发展个人网银用户名)、身份证、一账通卡号、平安客户号登录(如图)
https://www.pingan.com.cn/pinganone/pa/index.screen

xielu1.png


2.直接点找回密码,账户名随便输就行,比如我输入admin,进入下一步后继续随便输入,同时进行抓包。(如图)

xielu4.png


xielu3.png


3.查看HTTPS返回的内容,data数据返回了错误信息。但仔细看可以发现其实在[user4resetPwd:]中连该用户信息也一起对客户端返回了。(如图)

xielu5.png


xielu6.png


xielu7.png


xielu8.png

漏洞证明:

如何知道是否有该账户呢?其实第一步就可以知道了。可以进行抓包然后倒入社工库用户名,至于验证码嘛,这里只是设置了过期时间,可以进行多次提交使用。过期后网页上重新刷新个就行。

xielu0.png


xielu00.png


由于一账通业务线很长,所以。。。其实可以通过其他地方注册(不需要手机,邮件等验证)比如:通过平安证券进行注册,该注册账户也是可以通过一账通进行登录。。
更便捷的是,注册查询用户名的地方连验证码都省了。(通过注册用户名发现,用户基数应该挺大)
https://stock.pingan.com/huiyuanzhuanqu/yizhangtongzhuce.shtml

xie00.png


xie23.png

修复方案:

本人并未进行大规模的撞库,也未保存测试数据,请误查水表。
------------------------------------------------
建议:
1.验证数据时只对客户端返回错误信息;
2.既然是单点登录,注册是否应该需要统一下;
3.验证码设置一次性过期;

版权声明:转载请注明来源 loli@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-07-07 08:50

厂商回复:

CNVD确认所述风险,已经转由CNCERT直接通报给平安银行。并与wooyun-2014-一并处置。

最新状态:

暂无