某第三方漏洞导致只需一个手机号即可查到你的账户资金变动信息（包括余额、工资、资金明细、转账验证码等）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0149163

漏洞标题：某第三方漏洞导致只需一个手机号即可查到你的账户资金变动信息（包括余额、工资、资金明细、转账验证码等）

漏洞作者：猪猪侠

提交时间：2015-10-24 16:19

修复时间：2015-12-08 20:20

公开时间：2015-12-08 20:20

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-10-24：细节已通知厂商并且等待厂商处理中
2015-10-24：厂商已经确认，细节仅向厂商公开
2015-11-03：细节向核心白帽子及相关领域专家公开
2015-11-13：细节向普通白帽子公开
2015-11-23：细节向实习白帽子公开
2015-12-08：细节向公众公开

简要描述：

受影响内容包括但不限：
银行卡余额、工资记录、贷款信息、资金明细、消费记录、转账验证码
本漏洞将由王思聪客串 (只敢和老公互动)。
安全是一个整体，保证安全不在于强大的地方有多强大，而在于真正薄弱的地方在哪里。
随处可见的安全隐患，任意一个小缺陷都能引发企业安全的崩盘。

详细说明：

#0 漏洞声明
仅对系统做了安全测试，未对系统造成任何破坏，未获取保存任何一条数据记录。
#1 受影响服务
http://**.**.**.**/ ，联动优势是中国移动、中国银联的合资公司，中国银联与中国移动联合推出银行通知服务，银行直接使用指定的信息系统，向用户推送银行的每一笔短信。

银信通(FMS)是“银行信息通知系统(Instant Financial Messaging System)”，该系统是基于中国移动通信短信平台和银行金融数据库开发的金融数据通信平台，并充分利用互联网和GSM网络资源，以经济快捷的方式，让银行及银行的个人客户和企业客户可以随时随地享受金融服务  。

#2 提供的业务功能

1、 帐务变动类通知服务
银信通系统自动向用户的手机发送文字短信息，把帐务变动情况实时发布，或按照银信通系统的设定时间通知用户。
2、 信息提醒类通知服务
贷款到期、定期存款到期、信用卡到期换卡、信用卡透支、信用卡支付、银行新业务、银行利率变动等通知服务。
3、 专业服务
A、证券信息通知
成交回报、撤单成功、委托受理、股份变动、证券市场信息等信息通知服务。
B、 外汇信息通知
收盘汇价、外汇帐户资金情况、成交回报、汇市分析短评、每日财经数据报告通知、汇率变动等信息通知服务。

#3 漏洞技术性描述
由于银信通业务系统存在漏洞，导致银行通知给用户的短信记录，可被在线查到。
#4 银信通在线应用，存在struts2远程命令执行漏洞(存在5年的漏洞)
http://**.**.**.**:8899/fiscmmstest/struts/login.action

#5 业务系统下的子系统均使用了tomcat中间件，同时配置的用户密码都一致
这样银信通的业务支撑系统将直接被影响：http://**.**.**.**/bis/login.jsp

漏洞证明：

#6 业务系统提供了MAS（专门发送短信的服务器）短信记录查询功能，可以查询到银行给每个手机用户推送的信息，以及用户发送给银行的信息。

#7 找出隐藏的金额信息，反编译出内部使用的数据查询API接口

#8 重新定义请求

mask 区域

*****^^&bk=银行的服务号&a*****

返回的JSON原始短信内容

修复方案：

#1 业务系统存在明显的漏洞，修复
#2 这个struts2漏洞存在了5年，却还没修复

版权声明：转载请注明来源猪猪侠@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2015-10-24 20:18

厂商回复：

CNVD确认所述第一层技术风险点。对于威胁情况，CNVD评估认为属联动优势某业务系统存储的银行卡交易提醒短信日志存在风险，并不涉及实时在线查询接口，不构成对相关用户银行卡业务的在线查询权限，因经风险可定性为历史交易数据存在风险。
已经转由CNCERT向网站管理方联动优势公司直接通报（首先通过其公开联系渠道），同时同步向网站管理单位关联资方——中国移动集团公司通报。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0149163

漏洞标题：某第三方漏洞导致只需一个手机号即可查到你的账户资金变动信息（包括余额、工资、资金明细、转账验证码等）

相关厂商：联动优势

漏洞作者：猪猪侠

提交时间：2015-10-24 16:19

修复时间：2015-12-08 20:20

公开时间：2015-12-08 20:20

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源猪猪侠@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0149163

漏洞标题：某第三方漏洞导致只需一个手机号即可查到你的账户资金变动信息（包括余额、工资、资金明细、转账验证码等）

相关厂商：联动优势

漏洞作者： 猪猪侠

提交时间：2015-10-24 16:19

修复时间：2015-12-08 20:20

公开时间：2015-12-08 20:20

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0149163"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 猪猪侠@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：猪猪侠

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源猪猪侠@乌云