银行积分商城系统通用漏洞可泄露大量银行卡和密码(附分析过程)

漏洞概要

缺陷编号:WooYun-2015-0127064

漏洞标题:银行积分商城系统通用漏洞可泄露大量银行卡和密码(附分析过程)

相关厂商:cncert国家互联网应急中心

漏洞作者:路人甲

提交时间:2015-07-18 01:47

公开时间:2015-09-06 00:00

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2015-07-18: 细节已通知厂商并且等待厂商处理中
2015-07-20: 厂商已经确认,细节仅向厂商公开
2015-07-30: 细节向核心白帽子及相关领域专家公开
2015-08-09: 细节向普通白帽子公开
2015-08-19: 细节向实习白帽子公开
2015-09-06: 细节向公众公开

简要描述:

涉及到多家银行的积分商城系统。

详细说明:

某积分商城系统存在业务逻辑漏洞,可批量枚举银行卡和交易密码,早大量用户信息泄露。部分银行如下:桂林银行积分商城https://**.**.**.**/jfyMall/攀枝花市商业银行积分商城 https://**.**.**.**/jfyMall/济宁银行积分商城 https://**.**.**.**/jfyMall/齐商银行积分商城 https://**.**.**.**/jfyMall/东营银行积分商城 https://**.**.**.**/jfyMall/江苏邳州农村商业银行综合积分商城 https://**.**.**.**/jfyMall/泰安市商业银行 https://**.**.**.**/jfyMall/5个以上算通用了吧

漏洞证明:

用户在注册过程中确认银行卡和找回用户名时,均可对银行卡和密码进行暴力枚举。通过用户注册:https://**.**.**.**/jfyMall/user/register.do或找回用户名,https://**.**.**.**/jfyMall/user/findnameto.do进行暴力猜解。拿用户注册来示范:用户注册共分三步:1,填写个人信息 2,确认银行卡 3,注册成功写个人信息这一步没有问题。问题出在第二步,如下图:

因无桂林银行的银行卡,去网上搜索一张,得到桂林银行的银行卡如下:622856700000*****前六位应该是相同的,本次测试仅测试后五位,生成一个5位数的字典,交易密码为111111,开始进行枚举,返回结果会有五种情况:卡号不存在,卡号已关闭,卡号未启用,这三种我们可以忽略了,来下面两种情况:

表示银行卡卡号存在,但密码不正确。

表示该银行卡已注册过,同时表示交易密码为111111,拿到银行卡号和交易密码,去找回用户名:https://**.**.**.**/jfyMall/user/findnameto.do

成功得到登录帐号用户名,然后通过银行卡帐号,交易密码,用户名,去找回登录密码:https://**.**.**.**/jfyMall/user/findpwdto.do

此时,密码已经重置成功,登录个人中心,如下图:

登录后,除了会有一些敏感信息泄露外,可以利用积分兑换商品,银行卡和交易密码已得到了,新增收货地址,就可以送到你家了。本次只介绍了方法,没有大量去爆破尝试,首先通过第一次筛选得到已存在的银行卡卡号,再进行第二次爆破密码,可有五次机会,出现在银行卡弱密码top5的同学统统中招了。成功率还是很高的,数量你们去估吧。漏洞危害:1,可造成大量银行卡和密码泄露,可以干很多事情~2,故意把银行卡自动挂失(五次错误密码后会自动挂失,只能到柜台去处理了)这漏洞危害可算是100%有危害吧,假如猜出了密码,密码泄露。没有猜出密码,银行卡锁定。是不是太坏了,值多少rank?哈哈,业务逻辑漏洞就是这样。

修复方案:

1,确认银行卡和找回用户名密码过程中添加验证码2,对银行卡卡号和密码添加控件,拒绝明文传输。

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-07-20 17:37

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向银行业信息化主管部门通报,由其后续协调网站管理单位处置。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 YY-2012 白帽子 | Rank:1791 漏洞数:161)

  2. 2010-01-01 00:00 Haswell 白帽子 | Rank:158 漏洞数:12)

    qianpai

  3. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    bandeng

  4. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    这套系统是中国银联做的。 :)

  5. 2010-01-01 00:00 染血の雪 白帽子 | Rank:178 漏洞数:17)

    居然没雷

  6. 2010-01-01 00:00 高小厨 白帽子 | Rank:910 漏洞数:71)

    @zeracker 某某某又要加班了

  7. 2010-01-01 00:00 est 白帽子 | Rank:2 漏洞数:1)

    多家银行的积分商城系统。。。密码都能泄露啊。。我日