支付宝可绕过自有的安全机制查询用户真实姓名

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-027257

漏洞标题：支付宝可绕过自有的安全机制查询用户真实姓名

漏洞作者：马三哥

提交时间：2013-07-01 15:22

修复时间：2013-08-15 15:23

公开时间：2013-08-15 15:23

漏洞类型：设计缺陷/逻辑错误

危害等级：中

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-07-01：细节已通知厂商并且等待厂商处理中
2013-07-05：厂商已经确认，细节仅向厂商公开
2013-07-15：细节向核心白帽子及相关领域专家公开
2013-07-25：细节向普通白帽子公开
2013-08-04：细节向实习白帽子公开
2013-08-15：细节向公众公开

简要描述：

可绕过自有的安全机制查询用户真实姓名，可作为社工获取手机号码、真实姓名，可实现对目标用户的社工欺骗。

详细说明：

从业务系统设计上看，业务系统支持邮箱地址和手机号码转账。

当输入存在的手机号码后，应用会自动显示用户姓名，准确说是隐去姓氏后的，名字。
至此能说明支付宝存在安全机制，不希望轻易显示号码、人名完整信息，然而又两处可以绕过。
方法1：PC版本添加联系人

通讯录中，添加目标手机号码。

弹出，验证完整用户名的操作，此时姓名中的名字已知，只需猜解第一位汉字即可。

汉字编码为2字节，最大遍历空间1-65535种，其中常见的姓氏越1300个，在不考虑对复姓用户名的处理情况下，暴力猜测成功率非常大。
经验证，改用户姓名验证的操作，没有图片验证码，好似也没有连续登录失败的安全阈值。
方法2：手机客户端直接转账
手机客户端，可以向任意目标手机号码转账1分钱交易，此时可获取对方姓名。

漏洞证明：

修复方案：

1、设置合理的连续查询失败安全阈值。
2、有必要时加入较多的图片验证码参与验证。
3、手机客户端增加适当的对方信息过滤处理。

版权声明：转载请注明来源马三哥@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：3

确认时间：2013-07-05 13:20

厂商回复：

非常感谢您的反馈，我们后续会进行加固。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-027257

漏洞标题：支付宝可绕过自有的安全机制查询用户真实姓名

相关厂商：支付宝

漏洞作者：马三哥

提交时间：2013-07-01 15:22

修复时间：2013-08-15 15:23

公开时间：2013-08-15 15:23

漏洞类型：设计缺陷/逻辑错误

危害等级：中

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源马三哥@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-027257

漏洞标题：支付宝可绕过自有的安全机制查询用户真实姓名

相关厂商：支付宝

漏洞作者： 马三哥

提交时间：2013-07-01 15:22

修复时间：2013-08-15 15:23

公开时间：2013-08-15 15:23

漏洞类型：设计缺陷/逻辑错误

危害等级：中

自评Rank：5

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-027257"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 马三哥@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：马三哥

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源马三哥@乌云