漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0126368
漏洞标题:金融小能手之包商银行各种漏洞打包
相关厂商:包商银行
漏洞作者: 咚咚呛
提交时间:2015-07-13 09:27
修复时间:2015-08-31 15:44
公开时间:2015-08-31 15:44
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-07-13: 细节已通知厂商并且等待厂商处理中
2015-07-17: 厂商已经确认,细节仅向厂商公开
2015-07-27: 细节向核心白帽子及相关领域专家公开
2015-08-06: 细节向普通白帽子公开
2015-08-16: 细节向实习白帽子公开
2015-08-31: 细节向公众公开
简要描述:
包商银行估计很多人没听过,前身为包头市商业银行,后来牛逼了就改名为包商银行,总资产几千亿。离我家挺近就办个测试下。
详细说明:
1、短信自定义及无限任意手机发送(2个高风险合并)
链接:
https://perbank.bsb.com.cn/perbank/getMobileSmsPwdForMobankNo.do?EMP_SID=DEDBBRDYDGJPATJKAJHHCVCOHSGDHIFKEQBUFMIL
参数:
businessCode=014001&optionFlag=00&suffixParams=xxx&mobileNo=159xxxx(这里写自己的测试)&actionFlag=1&orderFlowNo=187
1)修改mobileNo为任意手机号可以向任意手机号发送短信,只在客户端做了校验,但是可以通过发包来绕过校验,无限向任意手机发送短信形成短信炸弹,可以写个脚本无限制向某个手机发送短信。
2)修改参数suffixParams可以自定短信,然后进行钓鱼,比如:
businessCode=014001&optionFlag=00&suffixParams=159xxxx%7c621xx(%e8%bf%99%e9%87%8c%e5%8f%af%e4%bb%a5%e8%87%aa%e5%ae%9a%e4%b9%89)%ef%bc%8c%e5%a6%82%e6%9c%89%e9%97%ae%e9%a2%98%e8%af%b7%e8%ae%bf%e9%97%aehttp%3a%2f%2fwww.diaoyu.com%ef%bc%8c%e6%88%96%e8%87%b4%e7%94%b5159xxxxxx(%e9%92%93%e9%b1%bc%e7%94%b5%e8%af%9d)&mobileNo=159xxxx(这里写自己的测试)&actionFlag=1&orderFlowNo=187
其中手机号和账户等任意信息都可以自定义,如图:
并且可以制造不同类型的钓鱼,修改参数optionFlag既可以,如:
2、账户开户行查询(高风险)
功能点:转账汇款 > 行内同名转账
链接:
https://perbank.bsb.com.cn/perbank/getAccOpenNode.do?EMP_SID=FBHXFIDZEMGRIUJIEHFMJQDVBSIRBOAYIUHSIPGK
修改参数payAccount为银行卡号任意号即可查询账户开户行,比如: 62176002000028609
3、XSS跨站脚本攻击(中风险)
功能点:客户服务->个人资料修改
链接:
https://perbank.bsb.com.cn/perbank/customerInfo_doConfirm.do?EMP_SID=DEDBBRDYDGJPATJKAJHHCVCOHSGDHIFKEQBUFMIL&email=&mobileNo=&zipCode=1111111111";prompt(1);//&address=test&phoneNo=
系统对XSS相关关键字符做了限制,并且在匹配上后作出登录限制,限制一定时间的登录,但规则还有一定的遗留,请加强补充,比如我先调用alert发现被爆了,而后运用prompt可以绕过规则。
漏洞证明:
详情看上面,
总结:包商银行的特征字符这块做的相当不错,所说有遗漏,但是也相当出色,因为黑名单机制本身就允许有遗漏的现象出现,这块它根据匹配的不同做不同的处理,比如:可疑的关键字符会提醒用户,判断为准确的攻击字符就会升级为事件,且对相应的ip进行封存,禁止一定事件的访问。这块做的挺不赖,以后可疑参照下。其实还有一处挺大的风险我不确定所以没提,回头行方你们自己可以确认下。
如下,在有些操作中,会用到U盾进行加密确认,U盾进行点击确认后发送数据包,测试发现数据包会进行传递相关参数:
如上图,会发现关键参数传递是XML格式,解密为:
如果我修改关键客户号也可以成功,但无法验证,是否存在越权操作请行方自行确认,还有这里U盾是总感觉走“表面形式”了,没起到真正的作用。
修复方案:
这些漏洞程序员应该经常修了。
版权声明:转载请注明来源 咚咚呛@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:9
确认时间:2015-07-17 15:42
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT向银监会通报,由其后续协调网站管理单位处置
最新状态:
暂无