当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-092497

漏洞标题:银行业(招商银行)设计缺陷可被穷举攻击

相关厂商:招商银行

漏洞作者: 猪猪侠

提交时间:2015-01-18 04:07

修复时间:2015-03-04 04:08

公开时间:2015-03-04 04:08

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-18: 细节已通知厂商并且等待厂商处理中
2015-01-19: 厂商已经确认,细节仅向厂商公开
2015-01-29: 细节向核心白帽子及相关领域专家公开
2015-02-08: 细节向普通白帽子公开
2015-02-18: 细节向实习白帽子公开
2015-03-04: 细节向公众公开

简要描述:

缺陷1:银行类设计缺陷,每张银行卡的开始区间是地址码,接着是地区码,再按照卡号ID顺序为客户发卡,银行卡的卡号可被枚举,同时所有银行只允许用户使用6位数字的密码,都互联网银行了,实在无法理解。
缺陷2:2011年,互联网泄密事件引爆了整个信息安全界,导致传统的用户+密码认证的方式已无法满足现有安全需求,某酒店的数据泄露,导致几千万用户身份证被公开,如果银行还允许客户使用身份证作为登录账号的话,而中国人又偏偏喜欢用生日做为密码,更无语的是身份证里面还包含生日。
# 每个身份标识一天能尝试登录5次,999999个密码要500年才能破解,可总有一些人的密码有规律可猜(非常非常喜欢用自己、爱人、子女的生日做密码),300101,1930年1月1日 -- 2015年1月18日,密码一下变成了31025个,哈哈哈哈哈哈哈哈

详细说明:

#1 利用设计缺陷,通过公开渠道获取到的身份证,以用户生日为密码,同时因为招商银行的登陆接口验证码可识别,即可直接批量穷举。
#2 移动银行网页版并没有安全控件,可以轻松提交

cmbchina_login_mobile.jpg


POST: https://mobile.cmbchina.com/MobileHtml/Login/LoginC.aspx
XmlReq:<PwdC>880808</PwdC><ExtraPwdC>2584</ExtraPwdC><LoginMode>0</LoginMode><LoginByCook>false</LoginByCook><IDTypeC>01</IDTypeC><IDNoC>430921198808082222</IDNoC><RememberFlag>false</RememberFlag><UserAgent>Mozilla/5.0 (iPhone; CPU iPhone OS 7_0 like Mac OS X; en-us) AppleWebKit/537.51.1 (KHTML, like Gecko) Version/7.0 Mobile/11A465 Safari/9537.53</UserAgent><screenW>320</screenW><screenH>568</screenH><OS>iPhone</OS>


#3 网页版理论上也可以

cmbchina_login_web.jpg

漏洞证明:

#4 验证码真的太简单

二值化:120
图像滤波:图像降噪4
线性滤波:边缘


根据以上滤镜建立字模后,就能轻松实现识别招商银行的数字验证码了
移动版验证码机器识别

mobile_yzm_ok.jpg


网页版验证码机器识别

cmbchina_web_ok.jpg


系统自带贴心小功能,告诉你这个身份证的人是屌丝,连申请信用卡的级别都没到(图片里面那个人是我,说的我自己,开个玩笑,不是嘲笑)

IMG_0181.png


穷举后可以看到用户的账单

zd.png


用户信息

profile.png


消费记录(可能你们觉得这不算啥,不会在意的,最关心这些的估计也就只有坏人了)

jilu.png

修复方案:

#1 升级验证码难度
#2 密码强度

版权声明:转载请注明来源 猪猪侠@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-01-19 17:07

厂商回复:

感谢对招商银行的安全关注。由于银行卡需在POS、ATM等场合跨行使用,卡号必须有统一的编码规则,密码必须是设备支持的数字。我行已通过各种途径提示客户避免使用生日等容易猜测的密码。网银及手机银行的安全是一个综合防护体系,除密码外,我行交易还有手机短信验证码、UKEY等其他安全措施保障资金安全,请用户放心使用。

最新状态:

暂无