当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-014777

漏洞标题:苏宁招行分期付款信用卡支付漏洞

相关厂商:江苏苏宁易购电子商务有限公司

漏洞作者: Doom-s小菜

提交时间:2012-11-14 18:00

修复时间:2012-12-29 18:00

公开时间:2012-12-29 18:00

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-11-14: 细节已通知厂商并且等待厂商处理中
2012-11-15: 厂商已经确认,细节仅向厂商公开
2012-11-25: 细节向核心白帽子及相关领域专家公开
2012-12-05: 细节向普通白帽子公开
2012-12-15: 细节向实习白帽子公开
2012-12-29: 细节向公众公开

简要描述:

某宁分期付款,招行付款没签名sign,没加密,可以修改价格。

详细说明:

QQ截图20121114170609.jpg


QQ截图20121114170635.jpg


QQ截图20121114170654.jpg


QQ截图20121114171106.jpg

漏洞证明:

无标题.jpg


QQ截图20121114171225.jpg


QQ截图20121114171922.jpg


修复方案:

签名,加密,难道招行没给文档吗?

版权声明:转载请注明来源 Doom-s小菜@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-11-15 14:12

厂商回复:

感谢Doom-s小菜的提交,经过沟通,我们了解到目前招行提供的分期接口确实存在没有签名字段,数据可被篡改的问题。此类被篡改过的订单,是无法通过支付成功的校验,页面显示的状态错误,是订单中心显示问题,不会造成错误发货的风险。为了减少犯罪分子的可乘之机,会在近期联系银行提供有较高安全机制的接口版本,并在最近版本发布上线。rank5以示对白帽子的鼓励,感谢。

最新状态:

暂无

漏洞评价:

评论

这些评论似乎很乌云~~~思密达
  1. 2012-11-20 11:39 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    非常感谢招商银行对问题的重视:1.我行分期支付接口支持对订单进行签名和不签名两种支付方式,如果商户选择后者,则则银行不会验证签名来防止订单篡改。从该案件来看,应该是商户选择了不签名的方式,导致银行未验证签名。 2.我们的文档中明确说明,“商户必须判断通知数据中各字段的值,通知中的数据才是用户实际支付的数据,一定要以此数据为准,而不能以之前商户系统产生定单时的数据为准!这是为了防止用户在支付过程中修改金额等支付数据”,黑客虽然可以更改订单金额,但无法修改通知金额,从该案件来看,商户接收到通知后,未对支付订单进行任何数据核对。 3.由于黑客可能在用户提交支付前(商户页面上)篡改订单信息,即使使用订单签名的方式也无法防范,要防范这一点,商户需在支付完成后与银行进行核对,以获取最终完成的支付订单的真实信息。 这对于其他的可能存在问题的厂商这也是一个很重要的信息

  1. 2012-11-14 18:56 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

     真发货了?

  2. 2012-11-14 19:33 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    等待补款?

  3. 2012-11-14 19:45 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    我去。。这个有看点。。

  4. 2012-11-14 20:03 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    @鬼魅羊羔 @xsser @风萧萧 你们觉得这个能成?

  5. 2012-11-14 20:39 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @zzR 亲,你指的是?

  6. 2012-11-14 20:45 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @zzR 你买个0.01元的试试,肯定不发

  7. 2012-11-14 20:52 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    @小胖胖要减肥 要是能发货我愿意付款0.1元

  8. 2012-11-14 20:54 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    @鬼魅羊羔 有个叫风萧萧的早就测试过了吧'只是这个问题••••••

  9. 2012-11-14 23:08 | at0xm ( 路人 | Rank:16 漏洞数:2 | I love Chao)

    @Doom-s小菜 呵呵

  10. 2012-11-15 08:56 | yhoojj ( 普通白帽子 | Rank:110 漏洞数:14 | BurNing)

    @Doom-s小菜 洞主能够现身说法,看看订单什么状态呢?

  11. 2012-11-15 09:18 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @xsser 我有个用户很多很多,厂商很巨大的积分兑换,我点了几种方式……几样东西都发货了……我我我都不敢报wooyun了~是积分+现金方式的,测试了三种支付漏洞,结果发了两样实物礼品,一种虚拟礼品

  12. 2012-11-15 09:26 | zidane ( 路人 | Rank:13 漏洞数:2 | 噢 乖,你们应该明白 这样下去对我们谁都不...)

    详细讲讲吧

  13. 2012-11-15 14:10 | Doom-s小菜 ( 路人 | Rank:5 漏洞数:1 | http://<script> alert(document.cookie); ...)

    @zzR @xsser 怕被跨省,不敢支付,价钱就直接可改而已。最后一张图片是ps的,希望引起厂商重视。o(∩_∩)o 哈哈~

  14. 2012-11-15 14:14 | 江苏苏宁易购电子商务有限公司(乌云厂商)

    @Doom-s小菜 我们尊重白帽子的贡献,也希望白帽子如实提交问题,谢谢

  15. 2012-11-15 14:20 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    @江苏苏宁易购电子商务有限公司 好专业!

  16. 2012-11-15 14:23 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @江苏苏宁易购电子商务有限公司 @Doom-s小菜 坑爹呢?需要封杀账号么? @疯狗

  17. 2012-11-15 14:37 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @xsser 。。。。。那么凶残

  18. 2012-11-15 14:38 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @xsser 顶~

  19. 2012-11-16 12:35 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @xsser @江苏苏宁易购电子商务有限公司 @Doom-s小菜 漏洞信息居然PS,过分了啊。。

  20. 2012-11-16 13:10 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    V5

  21. 2012-11-20 11:39 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    非常感谢招商银行对问题的重视:1.我行分期支付接口支持对订单进行签名和不签名两种支付方式,如果商户选择后者,则则银行不会验证签名来防止订单篡改。从该案件来看,应该是商户选择了不签名的方式,导致银行未验证签名。 2.我们的文档中明确说明,“商户必须判断通知数据中各字段的值,通知中的数据才是用户实际支付的数据,一定要以此数据为准,而不能以之前商户系统产生定单时的数据为准!这是为了防止用户在支付过程中修改金额等支付数据”,黑客虽然可以更改订单金额,但无法修改通知金额,从该案件来看,商户接收到通知后,未对支付订单进行任何数据核对。 3.由于黑客可能在用户提交支付前(商户页面上)篡改订单信息,即使使用订单签名的方式也无法防范,要防范这一点,商户需在支付完成后与银行进行核对,以获取最终完成的支付订单的真实信息。 这对于其他的可能存在问题的厂商这也是一个很重要的信息

  22. 2012-11-20 15:41 | 江苏苏宁易购电子商务有限公司(乌云厂商)

    @xsser 感谢xsser以及WooYun 对于银行的回复,我们已经通知到公司相关部门,并且与招行取得有效沟通,将于近期升级解决此类问题。再者,支付问题在这里总算有了一个很好的解释:)

  23. 2012-11-20 15:44 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @江苏苏宁易购电子商务有限公司 如果招商银行能够下次有技术人员参与进来讨论就非常棒了 :)

  24. 2012-11-20 15:52 | 江苏苏宁易购电子商务有限公司(乌云厂商)

    @xsser 那必是极好的~

  25. 2012-12-29 18:44 | wugui ( 路人 | Rank:15 漏洞数:4 | wugui@lcx.cc)

    你妈。。 付款了。 发货了、

  26. 2012-12-29 22:21 | ZedeX ( 路人 | Rank:16 漏洞数:3 | zx)

    @wugui 截图或者拍照留念或者单发一个漏洞吧?这不仅是技术漏洞更是企业流程漏洞了。