当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-08563

漏洞标题:无意中发现的支付宝信用卡充值,余额可提现

相关厂商:支付宝

漏洞作者: Wdot

提交时间:2012-06-21 09:11

修复时间:2012-08-05 09:11

公开时间:2012-08-05 09:11

漏洞类型:设计错误/逻辑缺陷

危害等级:低

自评Rank:1

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-06-21: 细节已通知厂商并且等待厂商处理中
2012-06-25: 厂商已经确认,细节仅向厂商公开
2012-06-28: 细节向第三方安全合作伙伴开放
2012-08-19: 细节向核心白帽子及相关领域专家公开
2012-08-29: 细节向普通白帽子公开
2012-09-08: 细节向实习白帽子公开
2012-08-05: 细节向公众公开

简要描述:

利用信用卡往支付宝里充值,余额可提现,名曰套现

详细说明:

环境:iPhone
银行:招行
晚上无聊用手机看淘宝,随手买了件衣服,付款完成后回到“我的淘宝”,发现商品还是未付款,正纳闷呢,再次点付款,之后发现了原来那款项在“余额”那,看图吧

漏洞证明:


余额里39呢,把余额的勾勾去掉,选择其他付款方式,再复现一遍。


手机银行-招商银行




收到短信,打开链接,弹出浏览器




支付完毕,看余额


pc上看看

修复方案:

小瑕疵而已亲

版权声明:转载请注明来源 Wdot@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2012-06-25 13:37

厂商回复:

谢谢,支付宝后台对于信用卡套现有监控系统对相关业务进行实时监控。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-06-21 09:46 | 撒旦 ( 路人 | Rank:5 漏洞数:1 | 专注WEB安全,专注网络安全)

    我去。。这个好。。坐等公开

  2. 2012-06-21 10:32 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    不是说取消信用卡充值了么?不过还说有办法的,自己弄个淘宝店,拍东西,信用卡支付;然后退款。钱到支付宝,可以提现的。

  3. 2012-06-21 11:08 | 撒旦 ( 路人 | Rank:5 漏洞数:1 | 专注WEB安全,专注网络安全)

    @一刀终情 一是现在自己开店比较麻烦。。。二是自己开店没有和淘宝签订那个什么信用卡协议书,只能刷500.。。多了不行。。。

  4. 2012-06-25 13:55 | Wdot ( 实习白帽子 | Rank:77 漏洞数:12 | it came too later)

    @一刀终情 信用卡支付的交易,交易被关闭后钱应该是退回到卡里的吧

  5. 2012-06-25 14:32 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @Wdot 到支付宝,我之前试过一次

  6. 2012-07-03 15:51 | 撒旦 ( 路人 | Rank:5 漏洞数:1 | 专注WEB安全,专注网络安全)

    @一刀终情 - -!现在是到卡。我前两天试的

  7. 2012-07-03 19:49 | Wdot ( 实习白帽子 | Rank:77 漏洞数:12 | it came too later)

    @撒旦 我之前被关闭过一次交易,印象中就是到卡的