漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-055738
漏洞标题:某省电信机主信息(姓名、住址、身份证号)存在泄漏风险,话费余额可被消费
相关厂商:中国电信
漏洞作者: 超威蓝猫
提交时间:2014-04-06 14:18
修复时间:2014-05-21 14:19
公开时间:2014-05-21 14:19
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-04-06: 细节已通知厂商并且等待厂商处理中
2014-04-11: 厂商已经确认,细节仅向厂商公开
2014-04-21: 细节向核心白帽子及相关领域专家公开
2014-05-01: 细节向普通白帽子公开
2014-05-11: 细节向实习白帽子公开
2014-05-21: 细节向公众公开
简要描述:
电信啊,啧啧啧..
详细说明:
首先,从豌豆荚应用商店下载并安装"江苏电信掌上营业厅"。
在登录界面填入任意江苏省电信的手机号,获取一条短信密码。
抓包可以看到,短信验证码就在返回的内容中,用这个验证码即可登录掌上营业厅。
这里可以看到流量、话费、积分等信息,这都不是关键。我们点击图上红框部分,
可以看到,虽然APP输出的信息有打码,但实际上HTTP请求返回的数据没有打码..(为了保护隐私,图片做了模糊处理)
我们又用同样的方法,随机登录了几个手机号,确认了漏洞存在。同时发现每个手机号都有绑定身份证,但用户住址则不一定有。
至此,我们可以实现:查询任意江苏电信手机号的话费、积分、流量、机主的姓名、住址,以及身份证号。
有了这些资料,还能做什么呢?
我们登录江苏电信网上营业厅 http://js.189.cn/ 登录-找回密码-在线重置
来到了这个页面:
我们填入手机号和对应的身份证号,来到下一步
发送短信验证码看看,天啊电信你是有多喜欢返回验证码?
于是把密码改为998877:
成功登录网上营业厅:
试试看开通一个收费的包月业务:
成功开通,无需任何验证码
更多危害这里不再赘述。
漏洞证明:
两千万用户哇..
修复方案:
电信更专业:)
版权声明:转载请注明来源 超威蓝猫@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2014-04-11 14:08
厂商回复:
CNVD确认所述情况(验证过程受CNVD团队验证条件所限,未直接全部复现),已经转由CNCERT下发给江苏分中心,由其后续协调当地基础电信企业处置。
最新状态:
暂无