漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-062151
漏洞标题:非授权绑定某商业银行信用卡用户
相关厂商:中国银行信用卡
漏洞作者: 路人甲
提交时间:2014-05-24 18:19
修复时间:2014-07-09 10:19
公开时间:2014-07-09 10:19
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-05-24: 细节已通知厂商并且等待厂商处理中
2014-05-29: 厂商已经确认,细节仅向厂商公开
2014-06-08: 细节向核心白帽子及相关领域专家公开
2014-06-18: 细节向普通白帽子公开
2014-06-28: 细节向实习白帽子公开
2014-07-09: 细节向公众公开
简要描述:
可定向攻击用户,对其刷卡交易进行监控,并可查询某些信息,如额度等。在下不才,请多谅解!^_^
详细说明:
中国银行微信银行存在漏洞,可绑定他人信用卡账号,从而可对其信用卡卡片数量,各个卡片额度,消费额,积分,剩余额度等进行查询,可开通交易交易提醒对其消费进行监视。
漏洞证明:
首先到微信银行绑定界面,输入一个可获取手机验证码的身份证号码。
获取验证码之后,系统会对 验证码进行验证,验证成功后会进行绑定,其交易如下,在该处篡改绑定的身份证号码。
如果该身份证号码在中行有信用卡,则会显示信用卡卡片选择的页面,如下
选择一个进行绑定,即可成功绑定一张他人的信用卡。
下面就是各种微信的正常使用
【积分查询】
【额度查询】
也可以更改绑定,来查询不同的卡
这里有个消费提醒,可以监控他人消费(偷偷绑定老公信用卡,消费信息早知道!^_^)
修复方案:
许多银行都开始推广微信银行,其中有一定数量的银行存在大小的安全问题,建议各个银行进行自查。
对于微信绑定这一块的漏洞,不仅是银行,包括运营商也有此类问题,建议相关单位进行自查!
另外银监会是不是也要对微信进行一下限制了?比如限制快捷支付,限制交易,或者限制绑定等等~
在下不才,请多谅解!
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:7
确认时间:2014-05-29 09:27
厂商回复:
转由CNCERT协调网站管理方通报处置。
最新状态:
暂无