当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020763

漏洞标题:淘宝流程设计漏洞(无需支付密码即可完成支付交易)

相关厂商:淘宝网

漏洞作者: 路人甲

提交时间:2013-03-27 18:11

修复时间:2013-03-29 18:17

公开时间:2013-03-29 18:17

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-03-27: 细节已通知厂商并且等待厂商处理中
2013-03-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

支付宝是目前比较安全的一款在线支付工具,然而,在特定条件下,可以绕过支付宝的数字证书和支付密码进行支付。黑产用该手段偷钱,简直可以日进万金啊。

详细说明:

支付宝是阿里巴巴旗下的在线支付平台,每一位在淘宝购物的同学都会有使用支付宝的经历。支付宝是目前比较安全的一款在线支付工具,然而,在特定条件下,可以绕过支付宝的数字证书和支付密码进行支付。

漏洞证明:

我先贴一下淘宝的购物流程(摘自淘宝服务中心)。

1.png


图1 淘宝购物流程
那么在确认收货的时候,会校验数字证书和支付密码。如图2所示。

2.png


图2 提示安装数字证书
这是正常流程,那么如果我购物不顺利怎么办?淘宝也为我们想好了,有一个退款流程。

3.png


在该流程中,需要买家发起退货申请,并且卖家同意。然后买家将货品发回,卖家再确认收货并退款。这个流程看似没有问题,但却隐藏了一个极大的漏洞——发起退款申请时,无需校验支付宝数字证书和支付密码,即可以绕过支付宝数字证书和支付密码。由于淘宝在退款时,退款金额可以协商,即用户自己输入,假如我买了2500元的东西,申请退款100元,那么卖家可以直接将2400收入口袋。
目前已经有人在使用该漏洞闷声发大财,手法如下。
首先,通过在淘宝上架便宜的商品(可以是二手),比如iphone5只卖2500元。再在某些渠道将这些链接推送出去,比如论坛发链接留QQ。在商品拍下并付款后,假借补个运费或送个赠品之名,发送伪装成淘宝的钓鱼链接,目的是为了套取淘宝账号和密码。骗子操作发货,并登录这些买家的账号,通过退货流程,迅速将买家的钱搞到手。2500元,退个百十块给买家,一笔就能赚好几千。

4.png


修复方案:

这个修复淘宝比我懂~

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-03-29 18:17

厂商回复:

感谢您对淘宝的关注,经我们排查,这个问题是由钓鱼引起的,并非淘宝存在业务逻辑漏洞

漏洞Rank:13 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2013-03-27 18:14 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    这个必须MARK啊。。。楼主注意人身安全额

  2. 2013-03-27 18:15 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    路人甲v5!

  3. 2013-03-27 18:18 | 暗夜清风 ( 实习白帽子 | Rank:44 漏洞数:10 | 大哥,你的娃娃掉了.举手之劳,不必以身相许)

    神器的路人甲

  4. 2013-03-27 18:37 | 马燕羊蝎子 ( 实习白帽子 | Rank:83 漏洞数:10 | 亲,啥时候请吃马燕羊蝎子。)

    好牛啊。

  5. 2013-03-27 18:44 | Shady ( 路人 | Rank:24 漏洞数:8 | Test)

    Mark

  6. 2013-03-27 18:51 | springemp ( 路人 | Rank:20 漏洞数:4 | 打酱油~偶尔买点盐~)

    刘明,略表关心

  7. 2013-03-27 19:44 | isxenos ( 实习白帽子 | Rank:71 漏洞数:8 | 也好)

    火钳刘明。

  8. 2013-03-27 19:45 | isxenos ( 实习白帽子 | Rank:71 漏洞数:8 | 也好)

    不会是手机支付宝的 免密码支付功能吧。

  9. 2013-03-27 19:49 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @isxenos +1008611

  10. 2013-03-27 19:49 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    你说的时手机小额支付吧?

  11. 2013-03-27 19:57 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    mark

  12. 2013-03-27 20:22 | lucky ( 普通白帽子 | Rank:409 漏洞数:84 | 三人行必有我师焉########################...)

    什么情况?坐等真相!

  13. 2013-03-27 20:49 | 单恋一支花 ( 路人 | Rank:18 漏洞数:2 | 菜b求指点)

    早期我测试过

  14. 2013-03-27 21:32 | Defa ( 普通白帽子 | Rank:113 漏洞数:13 | <img src=1 onerror=alert(1)>)

    很牛逼的样子。。。。。

  15. 2013-03-27 23:09 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    还是路人甲犀利啊

  16. 2013-03-28 02:19 | isxenos ( 实习白帽子 | Rank:71 漏洞数:8 | 也好)

    @小胖子 你没 @ 到我。

  17. 2013-03-28 09:44 | 剑指天涯 ( 路人 | Rank:1 漏洞数:1 | 我是来乌云打酱油的,没提过漏洞,没拿过ra...)

    目测应该是开启了免输支付密码功能手机端安全插件支付,不需要支付密码,坐等公开…

  18. 2013-03-28 11:25 | springemp ( 路人 | Rank:20 漏洞数:4 | 打酱油~偶尔买点盐~)

    用移动端设备付款一次成功后以后每次都不用输入任何东西就能付款了,只要点击付款一下就好,钱刷的好快啊。。。。。后来有个二次验证码的功能,也不是经常提醒输入。。。这个地方也是灰常有问题滴。。。

  19. 2013-03-29 18:27 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    看完内容,我懂淘宝为什么要忽略了。。。。

  20. 2013-03-29 18:39 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @VIP 什么意思

  21. 2013-03-29 18:45 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @xsser 需要对用户社会工程学啊

  22. 2013-03-29 18:46 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @小胖胖要减肥 关键问题是如果我掌握了别人的账号密码怎么套现的,这个业务逻辑很重要啊,获得别人账号密码除了钓鱼还可以直接撞库吧

  23. 2013-03-29 19:59 | 北洋贱队 ( 普通白帽子 | Rank:252 漏洞数:25 )

    影响非常有限,首先需要别人拍下你的物品,才能后续操作,拍的时候就需要支付密码

  24. 2013-03-29 21:09 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @xsser 就像楼上说的,要使用支付宝买东西就要支付密码的,淘宝流程真的还算不错的,最多人家掌握你手机会有点问题,其他的基本影响都还好把,这个13有点优待哈,淘宝可以适当给点分的,问题确实存在但影响比较小我觉得

  25. 2013-03-30 01:30 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    骗术再低级,总是骗到那些会被骗到的人。。哎。

  26. 2013-03-30 08:03 | 剑指天涯 ( 路人 | Rank:1 漏洞数:1 | 我是来乌云打酱油的,没提过漏洞,没拿过ra...)

    涉及钓鱼范畴,而且必须是作为卖家来骗,购买过程本身就需要支付密码,厂商忽略情有可原

  27. 2013-03-30 09:42 | 我了个去 ( 普通白帽子 | Rank:139 漏洞数:14 | 4892057@qq.com ...)

    以后不准乱拍了,汗~

  28. 2013-03-31 22:01 | isxenos ( 实习白帽子 | Rank:71 漏洞数:8 | 也好)

    以后不准乱拍了 @XSSER

  29. 2013-04-04 20:15 | 冰锋刺客 ( 普通白帽子 | Rank:113 漏洞数:14 | 请在监护人陪同下与本人交流)

    这篇文章我连着看了两遍"那么在确认收货的时候,会校验数字证书和支付密码"你拍下商品,不需要支付密码?怎么就直接确认收货了,明显的逻辑问题。上周时,朋友发了这个链接给我,所以特地关注了下,看看有没什么进展,现在公布后,发现简直就是扯淡!

  30. 2013-04-04 20:17 | 冰锋刺客 ( 普通白帽子 | Rank:113 漏洞数:14 | 请在监护人陪同下与本人交流)

    "在商品拍下并付款后,假借补个运费或送个赠品之名,发送伪装成淘宝的钓鱼链接,目的是为了套取淘宝账号和密码。"--------------------------------这里一句话就带过了拍下并付款后,这种情况下你连支付密码都不知道(更别说数字证书),你是怎么付款的啊,我日哦!

  31. 2013-04-04 20:25 | 冰锋刺客 ( 普通白帽子 | Rank:113 漏洞数:14 | 请在监护人陪同下与本人交流)

    看了第五遍,明显完全不符合逻辑的事情,不知为何却能写出一大篇来

  32. 2013-04-04 21:56 | 我了个去 ( 普通白帽子 | Rank:139 漏洞数:14 | 4892057@qq.com ...)

    今天哥们淘宝支付的时候,直接快捷支付了,没输入密码,就给手机发了条短信,扣xx元,而且如果第一次使用信用卡支付会默认勾选开启快捷支付,虽然需要手机验证码验证,但总感觉有点被强迫和侵犯的感觉,就好像sina某企业微博搞活动,发微博前收听这个企业微博的勾默认选中一样,但sina微博对企业微博这块审核很严格的,那个勾不能默认选中,应该让用户自己选择是勾选,但你可以设定规则,不收听我们不能参加这个活动,这点我希望淘宝向sina微博学习,给用户充分明确的知情权,而不是为了推某项功能使一些对计算机操作不熟练或忙于支付没有仔细检查 阅读相关选项的人做了违反意愿的事情,造成不必要的误解。 ps:淘宝上,我就不愿意绑定银行卡或信用卡,虽然明白他们安全做的很好,但就不放心,情愿每次支付的时候输入一堆繁琐的信息,这是我的个人意愿,不需要你通过某种方式告诉我怎样好,体验取决我自己,萝卜白菜,各有所爱,就事论事,不针对任何人,不希望吵嘴,不喜勿喷。

  33. 2013-04-05 15:10 | 冰锋刺客 ( 普通白帽子 | Rank:113 漏洞数:14 | 请在监护人陪同下与本人交流)

    @我了个去 你用过快捷支付还是你哥们啊,说的好像是你用的似的。快捷支付需要手动开通,这个是自己知道的,而且支付的时候需要支付密码或者手机短信验证码。有哪里不对劲吗?