漏洞概要
关注数(24)
关注此漏洞
漏洞标题:P2P金融安全之建行旗下中德储蓄银行用户个人信息侧漏\绕过验证机制任意身份申请住卡\任意身份申请贷款
提交时间:2016-04-07 10:26
修复时间:2016-05-22 10:30
公开时间:2016-05-22 10:30
漏洞类型:敏感信息泄露
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2016-04-07: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-22: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
中德住房储蓄银行有限责任公司(以下简称“中德银行”)于2004年2月开业,是中国建设银行控股的一家专业经营住房信贷业务的商业银行,总行设于天津。中德银行现注册资本20亿元人民币,由中国建设银行与德国施威比豪尔住房储蓄银行共同出资,双方持股比例分别为75.1%和24.9%。在专业经营源自欧洲的住房储蓄业务4年后,2008年底,中德银行进一步推出个人住房贷款、房地产开发贷款等商业银行业务,并逐步确立了“专业于住房金融,专注于住房储蓄”的市场定位。
详细说明:
无意间侧漏了大量用户的身份证信息,姓名,手机号等敏感信息:
复制response信息,脚本正则匹配身份证,身份证号可作为登录用户名贴出部分:
恶意的用户会严重影响用户的使用,如果密码输入限制次数5次将被锁定:
比如密码找回功能同样侧漏用户姓名,customerId:
输入侧漏出的身份证如下:
修改customerNameCN值为0,可将认证方式修改为手机方式,不支持手机方式同样可强制以手机方式认证,如下图修改后的结果:
可看出之前是USB-KEY。
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
绕过手机验证码申请住卡,点击申请会先进行一次身份认证,绕过有两种方法,一种是截断数据包修改接受验证码的手机号,另一种是修改response信息:
修改为如下图信息即可:
之后会跳转到申请人的信息,如下:
点击下一步,修改如下:
之后response会返回工作人员的敏感信息:
申请成功:
货代的验证机制更是简单,同样的方法修改接收验证码的手机号或response:
证明:
漏洞证明:
修复方案:
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:20 (WooYun评价)