当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-033782

漏洞标题:支付宝存在任意读取(泄露)任意账户姓名缺陷

相关厂商:支付宝

漏洞作者: godlong

提交时间:2013-08-08 10:52

修复时间:2013-09-22 10:53

公开时间:2013-09-22 10:53

漏洞类型:内容安全

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-08-08: 细节已通知厂商并且等待厂商处理中
2013-08-09: 厂商已经确认,细节仅向厂商公开
2013-08-19: 细节向核心白帽子及相关领域专家公开
2013-08-29: 细节向普通白帽子公开
2013-09-08: 细节向实习白帽子公开
2013-09-22: 细节向公众公开

简要描述:

支付宝存在任意读取(泄露)任意账户姓名缺陷,容易被攻击者利用于社会工程学攻击和不法分子的人肉搜索中,造成严重的安全风险,这是支付宝所不用看到的。也正是由于存在这个风险,支付宝的付款信息会予以马赛克屏蔽掉姓氏,利用本缺陷,将可以读取任意账号(邮箱&手机号)存在支付宝数据库的真实姓名。

详细说明:

1.首先使用手机打开wap.alipay.com。我测试的是触屏版!标准版似乎没有转账功能,那我就不测试了!
2.点击“我要付款”进入付款转账页面。

IMG_1564.PNG


3.输入对方的账号(邮箱 or 手机号),这里我输入我领导的手机号码152022**662,输入付款理由“安全测试”,然后金额0.1元(也就是每次查询一个信息最少要转账0.01元哦,当然看完下面你也可以不回复短信确认...),确定转账。

IMG_1566.PNG


IMG_1567.PNG


4.输入支付密码,确认付款。至此信息都正常屏蔽,比如出现*丽,而没出现姓氏。但是接下来短信来了,直觉告诉我这是个洞,居然把收款方的姓氏都显示出来了!OK!目的达到,可以不用付钱了,得知该账号的真实姓名就达到目的了!可以进行下一步的攻击了

IMG_1568.PNG


=================================================================
www版的alipay便不存在此问题:) 但是安全是一个木桶原理的体系,取决于最短木板,wap网站泄露了信息,www主站隐藏再好有什么用呢!截取几张图:)

alipay.png


正常马赛克

alipay1.png


正常马赛克

alipay2.png


正常马赛克

漏洞证明:

图中的红圈就是把不该输出的东西输出了,即为漏洞所在。

IMG_1568.PNG

修复方案:

我认为的修复方案:将验证短信中的姓氏屏蔽掉即可!检查所有转账功能的姓氏输出问题,我相信安卓,ios,wp,symbian可能还会存在这种情况!
此漏洞和这2个漏洞有所相似,修复你们更加专业!支付宝是我认为一向为数不多最懂细节的一家公司!特别在信息安全这方面更应该注重细节!
WooYun: 淘宝、支付宝任意用于姓名读取
WooYun: 支付宝手机客户端用户信息泄露
Rank请看着给吧!多多善意 :)

版权声明:转载请注明来源 godlong@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2013-08-09 14:35

厂商回复:

非常感谢您的反馈,我们正在进行处理。

最新状态:

暂无