当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-08321

漏洞标题:关于绕过淘宝 支付宝安全证书登陆漏洞

相关厂商:淘宝网

漏洞作者: saviour

提交时间:2012-06-15 10:59

修复时间:2012-07-30 11:00

公开时间:2012-07-30 11:00

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-06-15: 细节已通知厂商并且等待厂商处理中
2012-06-19: 厂商已经确认,细节仅向厂商公开
2012-06-29: 细节向核心白帽子及相关领域专家公开
2012-07-09: 细节向普通白帽子公开
2012-07-19: 细节向实习白帽子公开
2012-07-30: 细节向公众公开

简要描述:

大家知道在登陆淘宝的网站时候有个安全证书 那是很好 很安全的 也可以防止别人在异地登陆你的账号 可是恰恰是淘宝跟支付宝分离 导致通过支付宝登陆可以直接绕过安全证书异地登陆淘宝网 造成不安全 在利用我昨天发现的网易漏洞 安全可以控制淘宝账户跟支付宝账户 修改密码 网络交易等 如果开通了快捷支付 那你们可要倒霉了
大家说如果这样下去 那个安全证书还有什么用

详细说明:

大家知道在登陆淘宝的网站时候有个安全证书 那是很好 很安全的 也可以防止别人在异地登陆你的账号 可是恰恰是淘宝跟支付宝分离导致可以绕过安全证书异地也可以登陆 造成不安全 在利用我昨天发现的网易漏洞 安全可以控制淘宝账户跟支付宝账户 修改密码进而进行网络交易等 如果开通了快捷支付 如果你们可要倒霉了 那个也可以修改你的快捷支付交易支付密码哦。
大家说如果这样下去 那个安全证书还有什么用

漏洞证明:

声明: 只要你知道对方的淘宝或是支付宝账号是网易的邮箱就可以 切勿用于非法用途
第一步 利用我昨天测试用的账号 admin@126.com 现在支付宝测试看要没有这个账户存在


第二部 如果账户存在 则进行修改密码操作 通过126邮箱


第三部 看支付宝已经发送密码到admin@126.com邮箱里


第四部 登陆126邮箱点击更改更改密码链接


第五部 哈哈 开始修改密码咯



第六部 密码改完了 那就登陆吧


第七部 大家在这里 进行密码操作 什么支付宝交易密码啊 快捷支付的也可以


看到这里大家觉得悬念出来了 跟标题内容不符合 接下来往下看
第八部 假如说你的账户里设置了支付宝登陆证书了 发现账户在异地登陆并且消费 那么你就得注意了
按道理说正常情况下 是这样的最好了 在淘宝网登陆会提示你没有安装证书 禁止登陆


但是如果账户被盗 那么其他人也可以在异地通过支付宝登陆 绕过安全证书 同时也登陆到淘宝网啦 呵呵 这个就是重点 前面的都是铺垫



如果要是再通过支付宝之前爆出的交易记录信息泄露 那可是对淘宝 支付宝用户冲击大了 里面有很多用户都是用网易的邮箱


幸好我把网易的漏洞 在第一时间通报给网易 并且进行深夜紧急修复 现在好了 淘宝网 支付宝你们也给我准备个大礼包吧 网易大礼包已经准备好了

修复方案:

在支付宝登陆页面也要加入证书验证服务 新注册用户强烈推荐绑定手机服务

版权声明:转载请注明来源 saviour@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2012-06-19 18:41

厂商回复:

感谢saviour的提醒,我们认为证书仅用于被淘宝用户设置为保护淘宝帐号的口令登录,这和支付宝帐号的认证策略以及淘宝对支付宝认证体系的信任是相互独立的。
但我们认可在saviour关于风险的描述,而事实上我们最近也发现支付宝帐户与淘宝帐户认证策略不一致确实存在一定安全风险,并已在着手完善,近期将会发布上线。
我们以站内信的方式寻求saviour的联系方式,并发送礼品以表谢意。

最新状态:

暂无