漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-08832
漏洞标题:支付宝泄漏银行卡信息造车银行卡风险
相关厂商:支付宝
漏洞作者: Hacker7x
提交时间:2012-06-27 09:33
修复时间:2012-08-11 09:33
公开时间:2012-08-11 09:33
漏洞类型:敏感信息泄露
危害等级:中
自评Rank:7
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-06-27: 细节已通知厂商并且等待厂商处理中
2012-06-29: 厂商已经确认,细节仅向厂商公开
2012-07-09: 细节向核心白帽子及相关领域专家公开
2012-07-19: 细节向普通白帽子公开
2012-07-29: 细节向实习白帽子公开
2012-08-11: 细节向公众公开
简要描述:
支付宝泄漏银行卡信息,造成银行卡容易遭到暴力破解密码。
详细说明:
这是因为支付宝的收款页面造成的。
首先我们随意找到一个支付宝的收款页面。
百度搜索:site:me.alipay.com
随意找到一个具有付款到银行卡功能的用户,例如我这里找到的是
https://me.alipay.com/gdutlx
查看该页面源代码
可以明显看出,第322行泄露了这个用户的银行卡所在银行;第323泄漏了用户的银行卡号;底下的泄漏内容没有多大的用处,但是也属于不应该泄漏的信息。
根据这个信息,我知道这个人的名字叫王博,工商银行卡的卡号是6222023602019417294
根据这个泄漏的信息,我可以做2件事情。
1.现在就攻击这个人的网上银行卡账户,因为网上银行一天输错3次密码今天这个账户的网上银行就没办法访问了。这样算是恶作剧,但是会对这个人的正常使用造成影响。
2.知道这个人的名字,还有部分的邮箱地址,还有这个人的收款地址的名称和收款页面的说明,我大概知道了这些信息之后得到了一下的结果
再通过域名Whois信息,这样慢慢的我就可以托测出他的银行卡密码,造成银行卡资金被盗。
漏洞证明:
相关支付宝地址:http://www.baidu.com/s?wd=site%3Ame.alipay.com
测试地址:https://me.alipay.com/gdutlx
源代码:
修复方案:
在代码中隐藏这部分信息即可。
版权声明:转载请注明来源 Hacker7x@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2012-06-29 16:29
厂商回复:
多谢Hacker7x,此处泄露尽涉及个别用户,已修复,感谢对支付宝安全的支持。
最新状态:
暂无