漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0119162
漏洞标题:金融小能手之民生银行漏洞打包(批量越权查看他人账户信息可用于诈骗)
相关厂商:中国民生银行
漏洞作者: 咚咚呛
提交时间:2015-06-09 09:02
修复时间:2015-06-14 09:04
公开时间:2015-06-14 09:04
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:15
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-06-09: 细节已通知厂商并且等待厂商处理中
2015-06-14: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
假装写点东西,太困了!渗了个钓鱼网站,从里面试了几个号,发现能用,于是拿来测试下吧!
越权|短信炸弹等!
详细说明:
1、越权查询任意卡号绑定的手机号
功能点:我的账户 >> 申请服务 >> 账户信息即时通 >> 修改
链接:https://per.cmbc.com.cn/pweb/SignInfoQry.do 参数:AcNo
如图:
可以看到根据卡号查询出相关联系地址,里面包含手机号。并且可以暴力跑数据,比如跑末尾2位100个号,此风险多用于社工、诈骗等。
轻轻松松跑出很多数据。
2、越权查询基金投资信息
功能点:投资理财 >> 基金投资 >> 委托查询及撤单
链接:https://per.cmbc.com.cn/pweb/FdHisListQry.do 参数:AcNo
说明:这个越权本身我没跑出数据,也没有大量跑。输入卡号,如:
本身如果这张卡如果投资了基金的话是可以得到如下信息的:
说下我的判断依据为何此处为越权查询:
1、当卡号存在时,无数据提示“查询无记录”,且我本身测试账户也是提示这个。
2、当卡号不存在时,提示:“卡号不存在”,说明它确实针对此卡进行了查询。
3、对这个应用系统测试时,它的整体安全防护体系一般为提示“无权限操作或账户。。。”等信息,而此处进行了查询且返回了查询数据。
故我判断此处应该存在越权,但是存不存还是要行方自我判断下,主要是我这里没有相关的测试数据。
此处也可以猜解账户,判断特征“不存在”。
另,
在功能点:投资理财 >> 基金投资 >> 基金成交查询、账户管理等多处也存在此现象,还有一些理财查询方面的功能,比如:
链接:https://per.cmbc.com.cn/pweb/FundTrsQryPre.do 参数:Account
能得到一下信息:
以下为民生直销银行
3、向任意手机无限发送短信(短信炸弹)
说明:可以向任意手机发无限发送短信。
功能点:直销银行注册--短信验证码
链接:https://www.mszxyh.com/peweb/ELESendPhoneCode4Reg.do
参数:MobilePhone
参数MobilePhone修改为任意手机号,即可向该手机发送无限制短信,造成短信轰炸。
下面还有多处可以暴力破解的,直接给地址吧:
1、功能点:我的账户 >> 申请服务 >> 账户信息即时通 >> 修改
链接:https://per.cmbc.com.cn/pweb/SignInfoQry.do 参数:AcNo
2、功能点:直销银行注册
链接:https://www.mszxyh.com/peweb/WXGetUserIdAccount.do
参数:IdNo
3、功能点:我的账户 >> 登录名变更
链接:https://www.mszxyh.com/peweb/ECEBCheckName.do
参数:UserId
漏洞证明:
详情看上面,说的挺清楚的。
还是总结下吧:因为有事所以分了两天做的,节奏没掌握好,挖的不深,不过整体看安全性确实挺高的,值得表扬!民生,看好你噢!
修复方案:
我相信你们应该经常修复类似的洞洞!
版权声明:转载请注明来源 咚咚呛@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-06-14 09:04
厂商回复:
漏洞Rank:15 (WooYun评价)
最新状态:
2015-06-29:感谢提交漏洞,我们会积极修复漏洞,谢谢!