当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-025223

漏洞标题:阿里巴巴,淘宝,支付宝任意修改绑定手机号

相关厂商:阿里巴巴

漏洞作者: 无可取代

提交时间:2013-06-05 22:32

修复时间:2013-07-20 22:33

公开时间:2013-07-20 22:33

漏洞类型:网络未授权访问

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-06-05: 细节已通知厂商并且等待厂商处理中
2013-06-07: 厂商已经确认,细节仅向厂商公开
2013-06-17: 细节向核心白帽子及相关领域专家公开
2013-06-27: 细节向普通白帽子公开
2013-07-07: 细节向实习白帽子公开
2013-07-20: 细节向公众公开

简要描述:

登陆异常或重要操作时会弹出手机验证,恶意用户即使得到他人的账号和密码后,还是会被这个安全限制。此漏洞是在得到账户和密码后,不需要绑定的手机,依然可以解除手机绑定,甚至修改绑定手机为任意手机号,从而绕过了这个安全限制。只要得到账号和密码,就可以进行任意操作

详细说明:

1. 账户和密码登陆阿里巴巴,进入“账号设置”,点击修改登录手机或者取消手机验证,点击“获取验证码”,这时使用Fiddle拦截,会发现请求验证码会发送手机号码和账号名称,修改这两个信息为自己的,然后验证码就发到自己的手机上去了
2. 速度填上收到的验证码,点击“确定”,在使用Fiddle拦截请求,会发现还会发送手机号,再改为自己号码
3. 好了,绑定的手机就改成自己的了

漏洞证明:

QQ截图20130605213756.png

修复方案:

1.阿里巴巴,淘宝,支付宝还有相关客户端,在登录之前必须检查账户或登录地址是否异常,异常情况下都要求手机验证,而不能允许进入系统。(这个方案貌似这两天加上去了,原来阿里巴巴通过阿里助手登陆没有异常验证)
2.不要把用户手机号码等敏感的数据写在前端,更不要随意相信前端传上来的数据。
3. 检查整个子网站和客户端是否有类似安全问题

版权声明:转载请注明来源 无可取代@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2013-06-07 15:01

厂商回复:

感谢您对我们的关注与支持,该问题我们正在修复~ ^_^

最新状态:

暂无

漏洞评价:

评论

  1. 2013-06-05 22:35 | X,D ( 普通白帽子 | Rank:143 漏洞数:8 | X,D)

    神奇的路人甲

  2. 2013-06-05 22:48 | LauRen ( 路人 | Rank:4 漏洞数:1 | 苦逼屌丝一枚。)

    已经不是路人甲

  3. 2013-06-05 22:57 | Evil Spirits ( 路人 | Rank:0 漏洞数:1 | 安好无念。)

    话说这个好,貌似我正好想换绑定手机

  4. 2013-06-05 22:58 | Nicky ( 普通白帽子 | Rank:477 漏洞数:69 | http://www.droidsec.cn 安卓安全中文站)

    围观

  5. 2013-06-05 23:04 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    貌似好复杂 我表示没看懂!还是关注

  6. 2013-06-05 23:13 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    这洞能卖多少钱啊..某客户端的问题?

  7. 2013-06-06 08:27 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    围观了

  8. 2013-06-06 09:12 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    围观,可利用

  9. 2013-06-06 10:15 | pfdz ( 实习白帽子 | Rank:99 漏洞数:13 | Stay hungry. Stay foolish.)

    我们也发现过自己的站这个问题,不知道是否一样。

  10. 2013-06-06 10:36 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    姿势略屌

  11. 2013-06-06 11:10 | saviour ( 普通白帽子 | Rank:188 漏洞数:29 | Saviour.Com.Cn 网站正在备案中)

    应该会被忽略!

  12. 2013-06-06 12:59 | 小色 ( 路人 | Rank:0 漏洞数:1 | 撸的一手好管)

    姿势略屌

  13. 2013-06-06 13:03 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    厂商已忽略

  14. 2013-06-06 16:32 | byniu ( 路人 | Rank:0 漏洞数:2 | 成功的两要素:一、坚持不要脸。二、大胆坚...)

    很牛逼吗,一直觉得只有淘宝的安全做得最好~

  15. 2013-06-06 23:11 | 灬相随灬 ( 普通白帽子 | Rank:369 漏洞数:68 | 大胆天下去得,小心寸步难行。)

    略屌

  16. 2013-06-07 17:30 | 无可取代 ( 路人 | Rank:3 漏洞数:1 | 每一件值得做的事情,都要耗费我一晚上)

    怎么给个低?这玩意被黑市那些卖账号和密码的利用,还不嘿翻了。人家绑定手机的都被盗了,按照支付宝协议,是需要赔偿滴

  17. 2013-06-07 18:15 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @无可取代 你懂的

  18. 2013-06-27 15:49 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @X,D 这个洞给3分不合适吧 大牛怎么看

  19. 2013-06-27 15:58 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    @无可取代 下次直接拿到黑市买个好价钱得了!

  20. 2013-07-02 09:17 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    rank3?????????????这是想逼别人去卖吗

  21. 2013-07-07 22:33 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    @xsser 这种情况没有对洞主补偿和伸张正义吗

  22. 2013-07-08 10:36 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    这个好牛啊!真心不懂。

  23. 2013-07-20 23:38 | 大肠精 ( 路人 | Rank:0 漏洞数:2 | 业余兴趣而已)

    膜拜路人甲大神

  24. 2013-07-21 00:04 | 李旭敏 ( 普通白帽子 | Rank:469 漏洞数:71 | ฏ๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎...)

    @xsser 这个应该和新网劫持域名那个漏洞差不多把····

  25. 2013-07-21 00:31 | 干爹 ( 路人 | Rank:22 漏洞数:2 | 我和干爹有个关系)

    我是看到给的分低才来评的..

  26. 2013-07-21 10:21 | 明. ( 路人 | Rank:8 漏洞数:7 | ส็็็็็็็็็็็็็็็็็็็...)

    支付宝竟然能出这种洞.我对干掉支付宝又增加了很大信心~~

  27. 2013-07-30 20:50 | 小色 ( 路人 | Rank:0 漏洞数:1 | 撸的一手好管)

    干掉支付宝越来越没信心了