金融小能手之包商银行各种漏洞打包

漏洞概要

缺陷编号:WooYun-2015-0126368

漏洞标题:金融小能手之包商银行各种漏洞打包

相关厂商:包商银行

漏洞作者:咚咚呛

提交时间:2015-07-15 09:27

公开时间:2015-08-31 15:44

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2015-07-15: 细节已通知厂商并且等待厂商处理中
2015-07-17: 厂商已经确认,细节仅向厂商公开
2015-07-27: 细节向核心白帽子及相关领域专家公开
2015-08-06: 细节向普通白帽子公开
2015-08-16: 细节向实习白帽子公开
2015-08-31: 细节向公众公开

简要描述:

包商银行估计很多人没听过,前身为包头市商业银行,后来牛逼了就改名为包商银行,总资产几千亿。离我家挺近就办个测试下。

详细说明:

1、短信自定义及无限任意手机发送(2个高风险合并)链接:https://**.**.**.**/perbank/getMobileSmsPwdForMobankNo.do?EMP_SID=DEDBBRDYDGJPATJKAJHHCVCOHSGDHIFKEQBUFMIL参数:businessCode=014001&optionFlag=00&suffixParams=xxx&mobileNo=159xxxx(这里写自己的测试)&actionFlag=1&orderFlowNo=1871)修改mobileNo为任意手机号可以向任意手机号发送短信,只在客户端做了校验,但是可以通过发包来绕过校验,无限向任意手机发送短信形成短信炸弹,可以写个脚本无限制向某个手机发送短信。

2)修改参数suffixParams可以自定短信,然后进行钓鱼,比如:businessCode=014001&optionFlag=00&suffixParams=159xxxx%7c621xx(%e8%bf%99%e9%87%8c%e5%8f%af%e4%bb%a5%e8%87%aa%e5%ae%9a%e4%b9%89)%ef%bc%8c%e5%a6%82%e6%9c%89%e9%97%ae%e9%a2%98%e8%af%b7%e8%ae%bf%e9%97%aehttp%3a%2f%**.**.**.**%ef%bc%8c%e6%88%96%e8%87%b4%e7%94%b5159xxxxxx(%e9%92%93%e9%b1%bc%e7%94%b5%e8%af%9d)&mobileNo=159xxxx(这里写自己的测试)&actionFlag=1&orderFlowNo=187其中手机号和账户等任意信息都可以自定义,如图:

并且可以制造不同类型的钓鱼,修改参数optionFlag既可以,如:

2、账户开户行查询(高风险)功能点:转账汇款 > 行内同名转账链接:https://**.**.**.**/perbank/getAccOpenNode.do?EMP_SID=FBHXFIDZEMGRIUJIEHFMJQDVBSIRBOAYIUHSIPGK修改参数payAccount为银行卡号任意号即可查询账户开户行,比如: 62176002000028609

3、XSS跨站脚本攻击(中风险)功能点:客户服务->个人资料修改链接:https://**.**.**.**/perbank/customerInfo_doConfirm.do?EMP_SID=DEDBBRDYDGJPATJKAJHHCVCOHSGDHIFKEQBUFMIL&email=&mobileNo=&zipCode=1111111111";prompt(1);//&address=test&phoneNo=系统对XSS相关关键字符做了限制,并且在匹配上后作出登录限制,限制一定时间的登录,但规则还有一定的遗留,请加强补充,比如我先调用alert发现被爆了,而后运用prompt可以绕过规则。

漏洞证明:

详情看上面,总结:包商银行的特征字符这块做的相当不错,所说有遗漏,但是也相当出色,因为黑名单机制本身就允许有遗漏的现象出现,这块它根据匹配的不同做不同的处理,比如:可疑的关键字符会提醒用户,判断为准确的攻击字符就会升级为事件,且对相应的ip进行封存,禁止一定事件的访问。这块做的挺不赖,以后可疑参照下。其实还有一处挺大的风险我不确定所以没提,回头行方你们自己可以确认下。如下,在有些操作中,会用到U盾进行加密确认,U盾进行点击确认后发送数据包,测试发现数据包会进行传递相关参数:

如上图,会发现关键参数传递是XML格式,解密为:

如果我修改关键客户号也可以成功,但无法验证,是否存在越权操作请行方自行确认,还有这里U盾是总感觉走“表面形式”了,没起到真正的作用。

修复方案:

这些漏洞程序员应该经常修了。

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:9

确认时间:2015-07-1715:42

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向银监会通报,由其后续协调网站管理单位处置

最新状态:

暂无

评价

  1. 2010-01-01 00:00 光刃 白帽子 | Rank:196 漏洞数:21)

    还是感觉包头市商业银行比较好听