漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0135952
漏洞标题:中信证券手机自助开户客户端逻辑设计错误(各种用户信息和数据泄漏)
相关厂商:中信证券
漏洞作者: 路人甲
提交时间:2015-08-21 23:07
修复时间:2015-10-07 22:32
公开时间:2015-10-07 22:32
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-08-21: 细节已通知厂商并且等待厂商处理中
2015-08-23: 厂商已经确认,细节仅向厂商公开
2015-09-02: 细节向核心白帽子及相关领域专家公开
2015-09-12: 细节向普通白帽子公开
2015-09-22: 细节向实习白帽子公开
2015-10-07: 细节向公众公开
简要描述:
中信证券手机自主客户端,手机注册验证逻辑设计存在缺陷,导致能够大量枚举手机号码,以及泄漏用户身份证、帐号、验证码等详细信息
详细说明:
看到股市跌的这么惨,打算进去抄底了,于是选了中信,一看这APK这界面,这注册流程,总是让人不放心,果不其然。
中信证券注册界面,burp抓一下发现这张页面竟然是本地开的http server:
端口是随机的,截图这次的端口号是16959.既然有端口,那对它做的事情就更加好奇了,继续跟下去,点击注册:
输入手机号之后,可以获取验证码,按钮会变灰,60S之后才能再获取,乍一看挺正常的逻辑。在看下burp的包:
注册验证的包也是发往本地的,然后通过http server 转发到中信的server上进行注册检查,上tcpdump抓了一下本地包,wireshark中查看下并没有发现有发往外网的包有明显的明文信息(手机号)。
看到这种界面就会想到,模拟这个流程看下他60s限制获取验证码的逻辑,发现根本在后端这个60s的限制形同虚设,只要post参数到 127.0.0.1/reqxml就会发送验证码,被人恶意利用,就可以搞短信骚扰。从此,60s的逻辑沦陷。
事情并没有到此结束,post的数据返回并没有想象的那么简单,还是有丰富的信息,测试了几个号码,返回数据:
CHECKCODE一猜就知道是啥,没错就是验证码,这个验证码短信跟网络数据都会返回。这验证码人人都可以得到,这里验证码逻辑又沦陷了。
上面的号码是没有注册过中信证券的,给一个注册过中信证券的手机号再来看下返回数据,信息就更加丰富了,不是简简单单的checkcode和错误码,而是注册时的各种信息。
漏洞证明:
修复方案:
重新审核下代码,反编译了一下隐隐约约觉着应该还有很多问题,枚举手机号导致用户信息泄露,这种理财信息账户,恐怕是很有价值的,泄漏会带来很多损失,无限制发短信也很可能被不法分子利用,以上几个逻辑赶紧修复下,吓得的我都想注销账户了。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2015-08-23 22:30
厂商回复:
正在联系相关团队积极修复
最新状态:
暂无