漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0149163
漏洞标题:某第三方漏洞导致只需一个手机号即可查到你的账户资金变动信息(包括余额、工资、资金明细、转账验证码等)
相关厂商:联动优势
漏洞作者: 猪猪侠
提交时间:2015-10-24 16:19
修复时间:2015-12-08 20:20
公开时间:2015-12-08 20:20
漏洞类型:敏感信息泄露
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-10-24: 细节已通知厂商并且等待厂商处理中
2015-10-24: 厂商已经确认,细节仅向厂商公开
2015-11-03: 细节向核心白帽子及相关领域专家公开
2015-11-13: 细节向普通白帽子公开
2015-11-23: 细节向实习白帽子公开
2015-12-08: 细节向公众公开
简要描述:
受影响内容包括但不限:
银行卡余额、工资记录、贷款信息、资金明细、消费记录、转账验证码
本漏洞将由王思聪客串 (只敢和老公互动)。
安全是一个整体,保证安全不在于强大的地方有多强大,而在于真正薄弱的地方在哪里。
随处可见的安全隐患,任意一个小缺陷都能引发企业安全的崩盘。
详细说明:
#0 漏洞声明
仅对系统做了安全测试,未对系统造成任何破坏,未获取保存任何一条数据记录。
#1 受影响服务
http://**.**.**.**/ ,联动优势是中国移动、中国银联的合资公司,中国银联与中国移动联合推出银行通知服务,银行直接使用指定的信息系统,向用户推送银行的每一笔短信。
#2 提供的业务功能
#3 漏洞技术性描述
由于银信通业务系统存在漏洞,导致银行通知给用户的短信记录,可被在线查到。
#4 银信通在线应用,存在struts2远程命令执行漏洞(存在5年的漏洞)
http://**.**.**.**:8899/fiscmmstest/struts/login.action
#5 业务系统下的子系统均使用了tomcat中间件,同时配置的用户密码都一致
这样银信通的业务支撑系统将直接被影响:http://**.**.**.**/bis/login.jsp
漏洞证明:
#6 业务系统提供了MAS(专门发送短信的服务器)短信记录查询功能,可以查询到银行给每个手机用户推送的信息,以及用户发送给银行的信息。
#7 找出隐藏的金额信息,反编译出内部使用的数据查询API接口
#8 重新定义请求
返回的JSON原始短信内容
修复方案:
#1 业务系统存在明显的漏洞,修复
#2 这个struts2漏洞存在了5年,却还没修复
版权声明:转载请注明来源 猪猪侠@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2015-10-24 20:18
厂商回复:
CNVD确认所述第一层技术风险点。对于威胁情况,CNVD评估认为属联动优势某业务系统存储的银行卡交易提醒短信日志存在风险,并不涉及实时在线查询接口,不构成对相关用户银行卡业务的在线查询权限,因经风险可定性为历史交易数据存在风险。
已经转由CNCERT向网站管理方联动优势公司直接通报(首先通过其公开联系渠道),同时同步向网站管理单位关联资方——中国移动集团公司通报。
最新状态:
暂无