漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0127064
漏洞标题:银行积分商城系统通用漏洞可泄露大量银行卡和密码(附分析过程)
相关厂商:cncert国家互联网应急中心
漏洞作者: 路人甲
提交时间:2015-07-16 01:47
修复时间:2015-09-06 00:00
公开时间:2015-09-06 00:00
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-07-16: 细节已通知厂商并且等待厂商处理中
2015-07-20: 厂商已经确认,细节仅向厂商公开
2015-07-30: 细节向核心白帽子及相关领域专家公开
2015-08-09: 细节向普通白帽子公开
2015-08-19: 细节向实习白帽子公开
2015-09-06: 细节向公众公开
简要描述:
涉及到多家银行的积分商城系统。
详细说明:
某积分商城系统存在业务逻辑漏洞,可批量枚举银行卡和交易密码,早大量用户信息泄露。
部分银行如下:
桂林银行积分商城 https://lejifen.taccb.com.cn/jfyMall/
攀枝花市商业银行积分商城 https://jf.pzhccb.com/jfyMall/
济宁银行积分商城 https://jf.jn-bank.com/jfyMall/
齐商银行积分商城 https://jf.qsbank.cc/jfyMall/
东营银行积分商城 https://jf.dyccb.net/jfyMall/
江苏邳州农村商业银行综合积分商城 https://jf.pznsh.com/jfyMall/
泰安市商业银行 https://lejifen.taccb.com.cn/jfyMall/
5个以上算通用了吧
漏洞证明:
用户在注册过程中确认银行卡和找回用户名时,均可对银行卡和密码进行暴力枚举。
通过用户注册:
https://ebank.guilinbank.com.cn/jfyMall/user/register.do
或找回用户名,
https://ebank.guilinbank.com.cn/jfyMall/user/findnameto.do
进行暴力猜解。拿用户注册来示范:
用户注册共分三步:
1,填写个人信息 2,确认银行卡 3,注册成功
写个人信息这一步没有问题。问题出在第二步,如下图:
因无桂林银行的银行卡,去网上搜索一张,得到桂林银行的银行卡如下:
622856700000*****
前六位应该是相同的,本次测试仅测试后五位,生成一个5位数的字典,交易密码为111111,开始进行枚举,返回结果会有五种情况:
卡号不存在,卡号已关闭,卡号未启用,这三种我们可以忽略了,来下面两种情况:
表示银行卡卡号存在,但密码不正确。
表示该银行卡已注册过,同时表示交易密码为111111,
拿到银行卡号和交易密码,去找回用户名:
https://ebank.guilinbank.com.cn/jfyMall/user/findnameto.do
成功得到登录帐号用户名,然后通过银行卡帐号,交易密码,用户名,去找回登录密码:
https://ebank.guilinbank.com.cn/jfyMall/user/findpwdto.do
此时,密码已经重置成功,登录个人中心,如下图:
登录后,除了会有一些敏感信息泄露外,可以利用积分兑换商品,银行卡和交易密码已得到了,新增收货地址,就可以送到你家了。
本次只介绍了方法,没有大量去爆破尝试,首先通过第一次筛选得到已存在的银行卡卡号,再进行第二次爆破密码,可有五次机会,出现在银行卡弱密码top5的同学统统中招了。成功率还是很高的,数量你们去估吧。
漏洞危害:
1,可造成大量银行卡和密码泄露,可以干很多事情~
2,故意把银行卡自动挂失(五次错误密码后会自动挂失,只能到柜台去处理了)
这漏洞危害可算是100%有危害吧,假如猜出了密码,密码泄露。没有猜出密码,银行卡锁定。
是不是太坏了,值多少rank?哈哈,业务逻辑漏洞就是这样。
修复方案:
1,确认银行卡和找回用户名 密码过程中添加验证码
2,对银行卡卡号和密码添加控件,拒绝明文传输。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2015-07-20 17:37
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT向银行业信息化主管部门通报,由其后续协调网站管理单位处置。
最新状态:
暂无