漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-042349
漏洞标题:安卓新浪微博客户端内支付宝支付方式隐私泄漏(可被中间人)
相关厂商:支付宝
漏洞作者: 路人甲
提交时间:2013-11-10 16:39
修复时间:2014-02-05 16:40
公开时间:2014-02-05 16:40
漏洞类型:设计错误/逻辑缺陷
危害等级:高
自评Rank:17
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-11-10: 细节已通知厂商并且等待厂商处理中
2013-11-15: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-01-09: 细节向核心白帽子及相关领域专家公开
2014-01-19: 细节向普通白帽子公开
2014-01-29: 细节向实习白帽子公开
2014-02-05: 细节向公众公开
简要描述:
在安卓新浪微博客户端内,购买会员选择支付方式时,如果选择支付宝支付,在支付宝支付页面,利用中间人攻击可以获得输入的支付宝帐号和支付密码明文。
详细说明:
安卓新浪微博手机客户端内,可以选择购买会员,选择支付方式的时候选择支付宝支付就会跳转到支付宝的支付页面,在支付页面需要输入支付宝帐号和支付密码,注意是支付密码,但是支付宝页面在传输帐号和支付密码时用的是http协议明文传输。简单的中间人攻击就可以看到用户输入的支付宝帐号和密码。
漏洞证明:
可以看到,是从新浪微博支付会员页面选择支付宝支付进入支付宝页面的。
跳转到支付宝页面后,输入支付宝的帐号和支付密码。这里输入的帐号和密码很容易被攻击者获取。
下图是进行中间人攻击拦截到的一些流量。
该图显示此时是在支付宝的页面上alipay
该图显示支付宝页面在传输帐号和支付密码时用的是http协议明文传输。右侧红框内分别是支付宝的帐号和密码,均为明文。简单的中间人攻击就可以看到这样的信息,泄漏隐私,非常危险。
修复方案:
在支付页面传输信息时采用SSL协议加密传输,而不是用http协议直接传输。或者调用手机安装的支付宝钱包客户端进行支付。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-02-05 16:40
厂商回复:
最新状态:
暂无