当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-035028

漏洞标题:支付宝通过手机找回密码验证过于简单可能存在风险

相关厂商:支付宝

漏洞作者: Exr

提交时间:2013-08-23 12:45

修复时间:2013-08-27 13:14

公开时间:2013-08-27 13:14

漏洞类型:账户体系控制不严

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-08-23: 细节已通知厂商并且等待厂商处理中
2013-08-27: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

闲来无事就想测试下手机丢失情况下,个人支付宝账户是否还安全。结果是:仅通过二条短信,找回了相应手机号(前提是号码在支付宝有注册)的登录密码和支付密码…

详细说明:

现在常用的QQ,财付通和支付宝几乎都与手机号码进行了关联。
问题就出来了,当手机不在本人手中的时候,相应的账户还安全么
相信很多人已经对此评估过了!
而且手机丢失事件还非常多,即使手机丢失后要及时挂失,可对于有备而来的人来讲,这都太晚了…
关于QQ,如果与手机号码绑定,外加上手机上QQ使用者一般选择记住QQ号码,那么很快,你的QQ密码将被修改,甚至更改绑定手机。
如果还开通了财付通,哼哼,你懂的
因本人QQ并没有绑定手机,所以以上可以自己实践,而本人常用的支付宝却绑定了手机。
而手机号码即可当支付宝账户,然后就有了下面的问题;
另外相信其他关联了手机的也有类似问题!

漏洞证明:

1.进入支付宝找回登录密码页面,(因支付宝中手机号码可作为账户名)输入相应手机号码和验证码:

2.png


2.选择不需要身份信息验证的仅通过手机校验码:

3.png


3.点击“点此免费获取”校验码,将收到的找回登录密码短信中的校验码进行填写

5.png


4.到此即可重置登录密码:

6.png


7.png


下一步重置支付密码:
5.进入找回支付密码页面,选择“通过手机校验码”

8.png


竟然还是推荐方式……
6.和第三步类似:
收到的短信:

92.png


将收到的找回支付密码短信中的校验码进行填写

9.png


7.OK,可重置支付密码:

90.png


91.png


到此,此支付宝账户已经可以被人操控了…
支付宝、余额宝…
更严重的情况是:支付宝账户一般还关联了银行卡,而且大都开通了快捷支付(虽然快捷支付72小时100%赔付),然后仅一条短信,即可提取关联银行卡内的RMB…
来个从银行卡内提取限额阀值:

93.png


选择“确认充值”后会发送快捷支付校验码:

96.png


94.png


OK,充值成功!
这对于有特定目的的小偷来讲,可是一种发财之路…

修复方案:

支付宝官方团队当然有考虑过这种情况,可为何还这样,难道是这种情况责任在于个人么?
在认证时,建议采用两重因子鉴别机制,如太多鉴别则要以牺牲快捷为代价~
因为只持有手机号即可进行账户操作,主要是涉及到RMB,所以还是希望多重视吧,虽然快捷支付72小时100%赔付,但还是降低风险为好~
求邀请码,有木有、

版权声明:转载请注明来源 Exr@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-08-27 13:14

厂商回复:

感谢对支付宝关心,支付宝对账户安全从多个维度进行识别判断。

最新状态:

暂无