漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-053150
漏洞标题:中国工商银行账户可批量猜测导致信息泄露(无法转账)
相关厂商:中国工商银行
漏洞作者: 小r00to1
提交时间:2014-03-09 15:54
修复时间:2014-04-23 15:54
公开时间:2014-04-23 15:54
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-03-09: 细节已通知厂商并且等待厂商处理中
2014-03-14: 厂商已经确认,细节仅向厂商公开
2014-03-24: 细节向核心白帽子及相关领域专家公开
2014-04-03: 细节向普通白帽子公开
2014-04-13: 细节向实习白帽子公开
2014-04-23: 细节向公众公开
简要描述:
中国工商银行账户批量猜测,导致信息泄露,工商银行登录方式可以自己设置用户名,如果让不法分子利用,则可能出现暴力破解登录,从而造成账户信息的泄露。
详细说明:
1.开通正常网银,登录,点击:客户服务-个性化定制-个性化定制:然后抓包验证第二种登录方式中的登录用户名的合法性:如图:
这里有两种情况:
一:用户名可以通过,这就证明这个名字还没有被使用,没有利用价值。
二:用户名提示叉号,则证明这个名字已经被使用了,可以利用一下下,当然凭运气了。
这里我使用了好多名字进行验证,像:史珍香(shizhenxiang),王伟(wangwei)等常用名字,然后将用户名作为密码登录:如图提示:
账号冻结,我可是仅仅尝试了一次,就是这个信息,证明有人登陆次数过多,才冻结的。之后利用少于6个字符的尝试猜解出现如图所示:
大粪(dafen),这种短的名称给了贵宾用户,其实这是安全的,一会会说。
2.开始抓包,跑字典,猜解已经使用过的用户名:
一:先使用httpwatch:如图:
使用:nidaye 抓包截图:
注意返回信息。再用:wodayede抓包截图:
再次注意返回信息。都明白。。。。
3.利用burp抓包,批量测试:
如图:
发送到攻击模块
把:shuoshenme作为变量,执行字典,这里测试举了几个极端例子,如图:
看返回长度就清楚,像wangyi、wangwei,这样的名字应该已经被注册了,再看看burp的返回值:注意两张图的对比:
返回值不同。
4.只后利用猜解到的账号,将账号作为密码,到前台登录页面进行验证,这里要说明一点,先看图:
这里是登陆密码的修改,“必须为数字和字母的组合,且要长于六位”,所以在跑字典猜解用户名的时候就要使用字母和数字作为用户名,因为你要使用用户名作为登录密码,而密码是有限制的。在说说上面那种少于六位的用户名,其实这种用户名是安全的,因为密码的长度导致了,这种短的用户名不可能作为密码登录。
5.登录成功后,就可以查看你要的信息了,至于转账,似乎没有可能,因为需要U盾。
漏洞证明:
修复方案:
1.严格账户控制体系。
2.登录密码不能和用户名相同。
版权声明:转载请注明来源 小r00to1@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2014-03-14 21:29
厂商回复:
CNVD确认所述情况,已经转由CNCERT直接转报给网站管理单位信息化主管部门,根据其反馈,已经在第一时间制定修复方案。
最新状态:
暂无