平安证券自主开户客户端存在任意用户信息篡改漏洞

漏洞概要

缺陷编号:WooYun-2015-0129086

漏洞标题:平安证券自主开户客户端存在任意用户信息篡改漏洞

相关厂商:stock.pingan.com

漏洞作者:路人甲

提交时间:2015-07-24 21:01

公开时间:2015-10-27 21:03

漏洞类型:非授权访问/认证绕过

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2015-07-24: 细节已通知厂商并且等待厂商处理中
2015-07-29: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-09-22: 细节向核心白帽子及相关领域专家公开
2015-10-02: 细节向普通白帽子公开
2015-10-12: 细节向实习白帽子公开
2015-10-27: 细节向公众公开

简要描述:

详细说明:

1、打开应用点击“马上开户”-“我知道了”,登录账户2、未注册过的手机登录时,验证码可爆破。但是这个只是任意用户注册,是另外一个漏洞了。3、新手机注册登录后,需要上传身份证信息,这里获取身份信息存在问题,获取不到姓名时,默认填充“姓名”,这也不是我们的关键4、下一步填写用户资料,后抓包

5、统一协议后设置,交易密码,这里密码明文传输,也是醉了,但这个漏洞也不是重点。6、要求录入银行卡号,再一次明文传输银行卡号,而且不验证户主信息。这个漏洞也不提。7、下面是一个调查问卷,随便填一下,完成测评。核对信息也随便填一下“确定”。8、太好了,抓包,看重点。这个包只在首次信息录入的时候能抓到:https://**.**.**.**

9、burp中选中改数据包"send to Intruder",修改包内容为目标内容

10、设置遍历user_id,当前用户user_id=3507887

11、点击右上角start attack

12、显示修改成功,为了验证修改任意用户都可以成功,所以找了两个手机号。换一个手机登陆后,不需要输入身份信息,只是密码设置、银行卡、调查问卷,然后就进入了最终视频认证界面。

13、抓包显示受害用户上传给服务器的个人信息已经被篡改了。且受害用户根本不知情,视频认证也是没有声音的。user_id=3504596

14、最终受害用户不能完成认证,还完全不知道是因为自己的账户信息被篡改了。

漏洞证明:

修复方案:

1、录入身份信息做校验~~~2、服务器做用户权限控制~~3、服务器对用户提交数据做防篡改校验~~~https≠铜墙铁壁~~亲~~

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-10-2721:03

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无

评价