漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-020763
漏洞标题:淘宝流程设计漏洞(无需支付密码即可完成支付交易)
相关厂商:淘宝网
漏洞作者: 路人甲
提交时间:2013-03-27 18:11
修复时间:2013-03-29 18:17
公开时间:2013-03-29 18:17
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-03-27: 细节已通知厂商并且等待厂商处理中
2013-03-29: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
支付宝是目前比较安全的一款在线支付工具,然而,在特定条件下,可以绕过支付宝的数字证书和支付密码进行支付。黑产用该手段偷钱,简直可以日进万金啊。
详细说明:
支付宝是阿里巴巴旗下的在线支付平台,每一位在淘宝购物的同学都会有使用支付宝的经历。支付宝是目前比较安全的一款在线支付工具,然而,在特定条件下,可以绕过支付宝的数字证书和支付密码进行支付。
漏洞证明:
我先贴一下淘宝的购物流程(摘自淘宝服务中心)。
图1 淘宝购物流程
那么在确认收货的时候,会校验数字证书和支付密码。如图2所示。
图2 提示安装数字证书
这是正常流程,那么如果我购物不顺利怎么办?淘宝也为我们想好了,有一个退款流程。
在该流程中,需要买家发起退货申请,并且卖家同意。然后买家将货品发回,卖家再确认收货并退款。这个流程看似没有问题,但却隐藏了一个极大的漏洞——发起退款申请时,无需校验支付宝数字证书和支付密码,即可以绕过支付宝数字证书和支付密码。由于淘宝在退款时,退款金额可以协商,即用户自己输入,假如我买了2500元的东西,申请退款100元,那么卖家可以直接将2400收入口袋。
目前已经有人在使用该漏洞闷声发大财,手法如下。
首先,通过在淘宝上架便宜的商品(可以是二手),比如iphone5只卖2500元。再在某些渠道将这些链接推送出去,比如论坛发链接留QQ。在商品拍下并付款后,假借补个运费或送个赠品之名,发送伪装成淘宝的钓鱼链接,目的是为了套取淘宝账号和密码。骗子操作发货,并登录这些买家的账号,通过退货流程,迅速将买家的钱搞到手。2500元,退个百十块给买家,一笔就能赚好几千。
修复方案:
这个修复淘宝比我懂~
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-03-29 18:17
厂商回复:
感谢您对淘宝的关注,经我们排查,这个问题是由钓鱼引起的,并非淘宝存在业务逻辑漏洞
漏洞Rank:13 (WooYun评价)
最新状态:
暂无