当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-053021

漏洞标题:华夏基金用户账号安全隐患可获取到基金交易等敏感信息

相关厂商:华夏基金

漏洞作者: fbi007130

提交时间:2014-03-07 13:33

修复时间:2014-04-21 13:34

公开时间:2014-04-21 13:34

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-03-07: 细节已通知厂商并且等待厂商处理中
2014-03-12: 厂商已经确认,细节仅向厂商公开
2014-03-22: 细节向核心白帽子及相关领域专家公开
2014-04-01: 细节向普通白帽子公开
2014-04-11: 细节向实习白帽子公开
2014-04-21: 细节向公众公开

简要描述:

通过一些手段,在知道身份证号码情况下,获取到基金交易等敏感信息。比较不走运的是似乎这个bug没有波及到微信。。。。

详细说明:

通过ios版本华夏基金管家--账户查询--忘记密码功能
通过身份证号、“我不知道基金帐号”以及验证码,
利用穷举基金名称(大部分人都有货币基金吧)、销售机构(直销的、主要银行)即能重置密码
1.穷举的难度并不难,因为往往一个人购买多种基金、在多个销售机构购买,因而极易引起碰撞
2.验证码只需要在第一日输入成功即可永久使用,此时可以通过重放,快速穷举
通过流量分析,能好简单地弄成攻击脚本逐个身份证号去穷举

漏洞证明:

 14-3-7 下午12 20 23.png


这个是入口

 14-3-7 下午12 32 28.png


这个是附加码错误的标志

 14-3-7 下午12 32 34.png


这个是附加码正确的标志

 14-3-7 下午12 33 24.png


附加码重复正确输入仍然有效,注意最顶的时间差别

 14-3-7 下午12 33 46.png


密码重置成功

 14-3-7 下午12 34 01.png


看到了吧。。。。

 14-3-7 下午12 34 07.png


交易信息

修复方案:

1.修正验证码漏洞,但似乎验证码被破不难
2.不要那么容易就被别人穷举掉
3.重视个人隐私,请贵厂使用ssl加密
送份小礼物可以吗
另外。。。乌云提交漏洞页面切换的时候有两个list点不到,需要刷新后才能用。。。麻烦na

版权声明:转载请注明来源 fbi007130@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2014-03-12 15:04

厂商回复:

CNVD未直接复现,已经转由CNCERT向证券行业信息化主管部门转报,由其后续协调软件管理厂商处置。

最新状态:

暂无