漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-016000
漏洞标题:窝窝团支付安全的业务逻辑漏洞
相关厂商:窝窝团
漏洞作者: ACGT
提交时间:2012-12-14 10:53
修复时间:2013-01-28 10:53
公开时间:2013-01-28 10:53
漏洞类型:账户体系控制不严
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-12-14: 细节已通知厂商并且等待厂商处理中
2012-12-14: 厂商已经确认,细节仅向厂商公开
2012-12-24: 细节向核心白帽子及相关领域专家公开
2013-01-03: 细节向普通白帽子公开
2013-01-13: 细节向实习白帽子公开
2013-01-28: 细节向公众公开
简要描述:
窝窝团支付安全的业务逻辑漏洞,账户余额可能被消费
详细说明:
窝窝团的支付系统有严重逻辑漏洞,只要掌握用户账户和登录密码,系统就允许直接修改账户绑定的手机号码,通过修改后的手机号码可以修改支付密码,进而使用账户余额消费。
也就是说,绑定手机和设置支付密码这些安全手段都形同虚设。
此外,窝窝团注册时没有对登陆密码的复杂度做强制要求,用泄露的密码库随便扫一下,估计扫出几千个账户不成问题。
漏洞证明:
已绑定手机号并设置了支付密码
输入另外一个手机号码和验证码就可以绑定新号码,没有进行任何验证
绑定新号码后,就可以选择“忘记支付密码”,发送短信验证码到新手机号,来更改支付密码
现在就可以使用账户余额消费了
修复方案:
1. 解绑手机前进行必要的验证
2. 对登录密码复杂度做强制性要求
3. 尽快自查被恶意入侵的账户
版权声明:转载请注明来源 ACGT@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2012-12-14 16:52
厂商回复:
业务逻辑存在问题,正在修正中,感谢提供信息!
最新状态:
暂无