漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-038387
漏洞标题:支付宝付款时密保工具(短信验证,宝令等)绕过
相关厂商:支付宝
漏洞作者: 丢小丢
提交时间:2013-09-28 10:08
修复时间:2013-09-30 11:14
公开时间:2013-09-30 11:14
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:7
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-09-28: 细节已通知厂商并且等待厂商处理中
2013-09-30: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
支付宝付款时,绕过密保工具(短信验证,宝令,数字证书等)的验证。
详细说明:
简单说就是
支付宝设置了支付验证密保工具,到了wap版就无验证机制了
即使用户设置了支付宝付款需要验证密保工具(比如手机验证码,宝令,动态密码,电子证书),只要先把订单提交,到验证密保这一步。
换手机上wap的支付宝,
找到未支付订单,就可以只凭支付密码完成支付。
简单的验证机制问题,
既然出了支付二次验证密保,
就应该做好,不能光在电脑上验证。
虽然说只有快捷支付和余额支付可以绕过。
但还是挺严重的问题。因为密保工具就是为了“当用户帐号密码等信息泄漏时用户账户资金安全”如果可以绕过,他们也就没有存在意义了.
漏洞证明:
简单拍下一个商品支付。
你看这里需要同时验证支付宝支付密码和宝令动态口令。关了这个页面换手机
找到这个未提交订单,页面上只有一个支付密码输入框。只凭支付宝支付密码就可进行支付。宝令之类的密保工具是不需要的。
支付成功了。
虽然不是太严重的问题,不过终究是验证体系里的短板。
修复方案:
估计是支付宝考虑到手机wap页面的限制,没法验证某些密保(比如-数字证书),就设置为只需要支付密码就可以完成支付了。这就成了验证系统里的短板。其实可以强制wap支付宝支付时,验证短信验证码。
版权声明:转载请注明来源 丢小丢@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-09-30 11:14
厂商回复:
感谢对支付宝系统安全的支持与关注。
最新状态:
暂无