当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020788

漏洞标题:怀疑中国投资资讯网交易在线配置不当导致googlehacks泄露用户支付宝转账付款结果

相关厂商:阿里巴巴

漏洞作者: 渚熏

提交时间:2013-03-28 00:14

修复时间:2013-05-12 00:15

公开时间:2013-05-12 00:15

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-03-28: 细节已通知厂商并且等待厂商处理中
2013-03-28: 厂商已经确认,细节仅向厂商公开
2013-04-07: 细节向核心白帽子及相关领域专家公开
2013-04-17: 细节向普通白帽子公开
2013-04-27: 细节向实习白帽子公开
2013-05-12: 细节向公众公开

简要描述:

起因是这样,在微博互联网的那点事转发的游侠安全网关于支付宝转账付款结果未经身份验证 可随意查看转账详情。
然后我在googls搜索了一下,发现大部分交易结果都跟一个叫做中国投资资讯网交易在线(http://www1.xx007.cn/)的网站有关系,怀疑该网站配置不当,外加支付宝交易结果缺乏身份验证双重漏洞使得交易结果可googlehacks

详细说明:

首先以关键字“付款结果 site:shenghuo.alipay.com”,googlehacks

1.png


可以发现确实存在googlshacks的情况
之后,我点开几个结果发现大部分都是有关集邮交易的,于是google了下几个结果里相关的邮箱,发现都跟那个“中国投资资讯网交易在线”有关系,搜索的这两个邮箱都在第一个图里。

2.png


3.png


少部分与www1.xx007.cn无关,如:

4.png


水平有限,还不知道在哪里出的问题,感觉应该是支付宝仅仅是缺少查看支付结果时缺少身份验证,但是导致googlehack的应该是www1.xx007.cn这种网站使用支付宝做在线交易时的某些过程。

漏洞证明:

修复方案:

还不知道为什么

版权声明:转载请注明来源 渚熏@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:4

确认时间:2013-03-28 10:48

厂商回复:

感谢渚熏的反馈,此问题影响少量主动将交易结果通过互联网告知对方的会员,并不影响其他会员,详细请参考支付宝官方微博,谢谢!

最新状态:

暂无