当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-017884

漏洞标题:支付宝钓鱼程序近距离接触三分钟,真正涉及金额流动的钓鱼案例

相关厂商:支付宝

漏洞作者: 小黑

提交时间:2013-01-25 16:44

修复时间:2013-01-30 16:45

公开时间:2013-01-30 16:45

漏洞类型:钓鱼欺诈信息

危害等级:高

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-01-25: 细节已通知厂商并且等待厂商处理中
2013-01-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

通过嗅探获得钓鱼程序权限后台,平均每10分钟约500人民跳转入不知何地,可能造成支付宝用户金钱损失阿里巴巴\淘宝\天猫因此运营受到风险,希望支付安全技术能够早日解。

详细说明:

通过嗅探获得支付宝钓鱼程序权限,根据眼看到的数据平均每10分钟约500人民跳转入不知何地,@ 后台基本功能无操作实际应用疑似运营商某应用程序上寄生。

1212.jpg


http://www.apiwhois.com/

漏洞证明:

YM{6[Y6KK$[TZ1{5ZERNZ}F.jpg


由于时间没获得多少权限时间图减半参考。

.jpg


大致的一些后台程序应用

11111.jpg

修复方案:

建议检查应用店铺掌柜是否宝贝跳转阿里妈妈转向支付宝-达到钓鱼目的。

版权声明:转载请注明来源 小黑@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-01-30 16:45

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2013-01-25 16:45 | TituX ( 路人 | Rank:19 漏洞数:3 | <script></script>)

    mark

  2. 2013-01-25 16:53 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    关注

  3. 2013-01-25 17:13 | jk_影 ( 实习白帽子 | Rank:59 漏洞数:9 | 专注google三十年)

    关注啊

  4. 2013-01-25 17:14 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    mark+1

  5. 2013-01-25 17:16 | 小峰子0204 ( 路人 | Rank:6 漏洞数:5 )

    mark+2

  6. 2013-01-25 17:17 | 小峰子0204 ( 路人 | Rank:6 漏洞数:5 )

    刚想通了别人为啥收信任网站的shell了...

  7. 2013-01-25 17:26 | 老树 ( 路人 | Rank:10 漏洞数:1 | 老树,百年树人!)

    mark+3

  8. 2013-01-25 17:32 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    印象中,第一起跟钱相关的钓鱼案例?

  9. 2013-01-25 18:41 | spirit ( 路人 | 还没有发布任何漏洞 | Once a hacker,forever a hacker.)

    mark

  10. 2013-01-25 18:51 | bittertea ( 实习白帽子 | Rank:40 漏洞数:7 | 不责人之过,不接人隐私,不念人旧恶)

    mark+4

  11. 2013-01-25 18:52 | O.o ( 普通白帽子 | Rank:105 漏洞数:12 | ส็็็็็็็็็็็็็็็็็็็...)

    mark+6

  12. 2013-01-25 20:09 | d3pT1 ( 路人 | Rank:1 漏洞数:2 | 人法地,地法天,天法道,道法自然。)

    虽然看不见但是 mark

  13. 2013-01-25 21:19 | 小色 ( 路人 | Rank:0 漏洞数:1 | 撸的一手好管)

    mark

  14. 2013-01-25 21:30 | 0x2b ( 实习白帽子 | Rank:51 漏洞数:12 )

    mark

  15. 2013-01-25 22:27 | 蓝风 ( 普通白帽子 | Rank:125 漏洞数:25 | 崬汸慾哓 嗼檤焄垳皁 沓猵圊屾亾沬荖 颩憬...)

    同上

  16. 2013-01-25 23:54 | win32 ( 实习白帽子 | Rank:36 漏洞数:9 | 溜达)

    mark

  17. 2013-01-29 18:01 | 数据流 ( 普通白帽子 | Rank:716 漏洞数:88 | all or nothing,now or never)

    为什么封号了

  18. 2013-01-29 18:02 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    为什么封号了?

  19. 2013-01-29 21:30 | 冉冉升起 ( 路人 | Rank:12 漏洞数:6 | ...)

    同上

  20. 2013-01-30 16:46 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    我好像没看懂的样子~

  21. 2013-01-30 16:52 | 摩斯 ( 路人 | Rank:3 漏洞数:2 | 每天进步一点点!努力学习技术!)

    楼主被查水表了??为什么被封号了?

  22. 2013-01-30 16:54 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    哈哈,我也没看懂,大神的作品!

  23. 2013-01-30 16:54 | 128bit ( 实习白帽子 | Rank:74 漏洞数:7 | May the SHELL be with you)

    我好像没看懂的样子~

  24. 2013-01-30 17:28 | 瓜瓜 ( 普通白帽子 | Rank:173 漏洞数:25 )

    ??为嘛封号了??这文章啥意思??求大牛科普

  25. 2013-01-30 19:16 | LeadUrLife ( 普通白帽子 | Rank:103 漏洞数:14 | 好好学习 天天向上)

    没看懂。。嚓

  26. 2013-01-31 01:23 | Mujj ( 实习白帽子 | Rank:58 漏洞数:4 | IDC商)

    楼主是PKAV群里的一大神,考验了无数人的智商

  27. 2013-01-31 09:44 | chord ( 路人 | Rank:9 漏洞数:3 | 纯属路过的)

    为什么封号了?

  28. 2013-01-31 09:52 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    为什么封号了?

  29. 2013-01-31 11:38 | 猫头鹰 ( 路人 | Rank:29 漏洞数:6 | 不解释)

    果断没看懂

  30. 2013-02-02 00:57 | 西施店De包子 ( 路人 | Rank:4 漏洞数:1 | 一介屌民,不值一提)

    楼主是PKAV群里的一大神,考验了无数人的智商,现在已经跟着主机佬去卖主机了