当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0136926

漏洞标题:国泰君安95521发送任意短信查询手机开户信息

相关厂商:国泰君安

漏洞作者: Lyq1st

提交时间:2015-08-25 20:32

修复时间:2015-11-24 17:40

公开时间:2015-11-24 17:40

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-25: 细节已通知厂商并且等待厂商处理中
2015-08-26: 厂商已经确认,细节仅向厂商公开
2015-10-20: 细节向核心白帽子及相关领域专家公开
2015-10-30: 细节向普通白帽子公开
2015-11-09: 细节向实习白帽子公开
2015-11-24: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

国泰君安某Android客户端设计缺陷,可以随意利用95521发送任何数量任何内容短信,可查看任意注册手机号的个人信息,如身份证信息、开户信息、住址、手机、银行卡、邮箱等隐私信息。

详细说明:

国泰君安Android手机开户客户端,存在短信任意发送问题,且数量无限制,并且可任意查询开户手机号个人信息,如身份证信息、开户信息、住址、手机、银行卡等大量敏感隐私信息。
客户端的架构与中信证券类似,估计出于同一家公司开发。同样问题出在了本地的http server上,本地http server,收到数据后通过内部加密库跟证券后台server交互,获取信息。本地server几处较为严重的问题,文题点都在reqxml的几个action中:
1.60s发送短信限制实现是在客户端上,因此容易被攻击者利用短信轰炸
2.短信发送内容本地生成,发送给server进行真正的发送短信,这个逻辑太可怕了,攻击者可以利用95521发送任何短信
3.验证码为本地生成,验证码逻辑形同虚设,有很大的安全隐患。
4.未登录状态下,手机号查询用户信息,返回信息过多,包含了身份证、住址、电话、邮箱等
5.查询接口后台无任何数量频率限制,导致手机号枚举,可大量获取用户信息。
另外:写前端的哥们也太尽心尽力了,所有注释清清楚楚,联系方式都留下了。。

漏洞证明:

任意短信发送:

Screenshot_2015-08-25-19-50-17.png


想想要是给全国人民用95521发一个 “中了500W信息,赶紧打手续费到XX帐号”,就好激动!
用户信息枚举查询

QQ图片20150825193931.jpg


另附一张研发小哥的联系方式:

QQ截图20150825195746.png


修复方案:

针对以上五条一一做修复,尽可能将验证逻辑放到server端,一定不能让客户端生成验证码,生成短信!!!还有release产品线上就不要带注释、测试代码了,很容易造成信息的泄漏。

版权声明:转载请注明来源 Lyq1st@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-08-26 17:39

厂商回复:

谢谢您的提醒和建议。

最新状态:

2015-11-06:全部修复了。谢谢您。