漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0136926
漏洞标题:国泰君安95521发送任意短信查询手机开户信息
相关厂商:国泰君安
漏洞作者: Lyq1st
提交时间:2015-08-25 20:32
修复时间:2015-11-24 17:40
公开时间:2015-11-24 17:40
漏洞类型:设计错误/逻辑缺陷
危害等级:高
自评Rank:20
漏洞状态:厂商已经修复
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-08-25: 细节已通知厂商并且等待厂商处理中
2015-08-26: 厂商已经确认,细节仅向厂商公开
2015-10-20: 细节向核心白帽子及相关领域专家公开
2015-10-30: 细节向普通白帽子公开
2015-11-09: 细节向实习白帽子公开
2015-11-24: 厂商已经修复漏洞并主动公开,细节向公众公开
简要描述:
国泰君安某Android客户端设计缺陷,可以随意利用95521发送任何数量任何内容短信,可查看任意注册手机号的个人信息,如身份证信息、开户信息、住址、手机、银行卡、邮箱等隐私信息。
详细说明:
国泰君安Android手机开户客户端,存在短信任意发送问题,且数量无限制,并且可任意查询开户手机号个人信息,如身份证信息、开户信息、住址、手机、银行卡等大量敏感隐私信息。
客户端的架构与中信证券类似,估计出于同一家公司开发。同样问题出在了本地的http server上,本地http server,收到数据后通过内部加密库跟证券后台server交互,获取信息。本地server几处较为严重的问题,文题点都在reqxml的几个action中:
1.60s发送短信限制实现是在客户端上,因此容易被攻击者利用短信轰炸
2.短信发送内容本地生成,发送给server进行真正的发送短信,这个逻辑太可怕了,攻击者可以利用95521发送任何短信
3.验证码为本地生成,验证码逻辑形同虚设,有很大的安全隐患。
4.未登录状态下,手机号查询用户信息,返回信息过多,包含了身份证、住址、电话、邮箱等
5.查询接口后台无任何数量频率限制,导致手机号枚举,可大量获取用户信息。
另外:写前端的哥们也太尽心尽力了,所有注释清清楚楚,联系方式都留下了。。
漏洞证明:
任意短信发送:
想想要是给全国人民用95521发一个 “中了500W信息,赶紧打手续费到XX帐号”,就好激动!
用户信息枚举查询
另附一张研发小哥的联系方式:
修复方案:
针对以上五条一一做修复,尽可能将验证逻辑放到server端,一定不能让客户端生成验证码,生成短信!!!还有release产品线上就不要带注释、测试代码了,很容易造成信息的泄漏。
版权声明:转载请注明来源 Lyq1st@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2015-08-26 17:39
厂商回复:
谢谢您的提醒和建议。
最新状态:
2015-11-06:全部修复了。谢谢您。