当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-042351

漏洞标题:交通银行后台可以自由修改客户绑定的手机号

相关厂商:bankcomm.com

漏洞作者: 纷纭

提交时间:2013-11-08 16:16

修复时间:2013-12-23 16:17

公开时间:2013-12-23 16:17

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:5

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-11-08: 细节已通知厂商并且等待厂商处理中
2013-11-12: 厂商已经确认,细节仅向厂商公开
2013-11-22: 细节向核心白帽子及相关领域专家公开
2013-12-02: 细节向普通白帽子公开
2013-12-12: 细节向实习白帽子公开
2013-12-23: 细节向公众公开

简要描述:

交通银行的信用卡绑定的客户手机号是不允许在WEB端修改的,但是实在不想去那么远的银行柜台办理,就发现实际上可以修改,我会乱说吗?

详细说明:

事情发生在我换了手机号N久以后,发现自己信用卡有几万积分,看到同事都换各种帐篷啥的,就去试试看,结果发现,绑定信用卡的时候,悲剧发生了,只认默认的之前开户的手机号。
然后就去后台尝试,看看能不能修改手机信息。发现不允许修改,WEB端不允许修改手机号,只能去柜台,可惜的是这附近的交通银行太远了。我也没时间去折腾这个鸟事。
于是就想着看看是否能在WEB端修改。
由于是我大中华的银行,那么肯定是不能用火狐谷歌的,修改也是个问题。试了试F12,IE的调试工具也还凑合,这时候就发现奇葩的事情了。既然你不允许在WEB端修改手机号,干嘛要在页面中加入隐藏的域来保存手机号,提交的时候这个信息还有提交。
拿出fiddler,F12后,在提交的时候截断了。

0001.jpg


修改了mobileNo后面的字段,然后就提交成功了。
手机马上就收到了。那个修改个人资料成功的提示。
手机号华丽丽的就修改为现在的了。
比较悲剧的是,第一次的时候,没有在意就是测试,然后悲剧就发生了,各种字段可能因为编码问题,乱码,我直接给提交了。然后个人资料里面全是乱码了。
fiddler你让我失望了。
回头修改了一次,发现自己的名字被改成乱码了。联系地址和电话还能去修改。这个算是没辙了。无法修改。放图一张,不知道能不能刷卡以后。

0002.jpg


无奈之下就继续fiddler修改抓包,发现不行,不知道什么缘故,无法修改成功,可能是编码我写的中文字符不对。
我跟好基友 tennc 说他说让打电话找客服,懒得打了,就研究了下,这个字段既然也是隐藏域,我去,直接F12在IE下修改了下。就OK了。
这里可以看到,这种个人客户资料里面原本不应该被修改的内容,手机号,及个人姓名,居然都可以在截断的时候修改掉,既然你不允许修改,那么干嘛要弄个隐藏域,最终还可以提交,还会updata?

漏洞证明:

0002.jpg


0001.jpg


不用证明了。各位小伙伴用自己的卡试试就行了。
话说不知道会不会影响刷卡,晚上去试试。买个啥东东刷一次,感觉这个不会影响的。
至于影响,各位黑产牛或者大牛们有想法吧。我就不知道了。没干啥坏事,就修改了下个人的信息,别让我去柜台改手机了,太扯了,大家都忙。

修复方案:

这个银行这种地方,各种高人都在我就不会说啥了。

版权声明:转载请注明来源 纷纭@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:9

确认时间:2013-11-12 22:51

厂商回复:

最新状态:

暂无