漏洞概要
关注数(24)
关注此漏洞
漏洞标题:无需二级密码登陆财付通
相关厂商:腾讯
提交时间:2013-07-26 13:52
修复时间:2013-09-09 13:53
公开时间:2013-09-09 13:53
漏洞类型:账户体系控制不严
危害等级:中
自评Rank:6
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2013-07-26: 细节已通知厂商并且等待厂商处理中
2013-07-29: 厂商已经确认,细节仅向厂商公开
2013-08-08: 细节向核心白帽子及相关领域专家公开
2013-08-18: 细节向普通白帽子公开
2013-08-28: 细节向实习白帽子公开
2013-09-09: 细节向公众公开
简要描述:
无需二级密码登陆财付通
详细说明:
财付通设置二次登陆密码 在手机端上面却可以直接进入
漏洞证明:
常规登陆财付通需要密码
但是 使用手机客户端可以直接进入m.tenpay.com 各种操作无需二级密码
修复方案:
版权声明:转载请注明来源 天朝城管@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2013-07-29 17:21
厂商回复:
非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。
最新状态:
暂无
漏洞评价:
评论
-
2013-07-26 14:04 |
M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)
还有一种就是无需登录密码只要知道支付密码即可支付 - -
-
2013-07-26 14:08 |
天朝城管 ( 普通白帽子 | Rank:116 漏洞数:35 | 不要等到命玩你的时候才开始玩命)
-
2013-07-26 14:26 |
小薇2013 ( 实习白帽子 | Rank:32 漏洞数:5 | 我就看看我不说话!)
-
2013-07-26 14:28 |
天朝城管 ( 普通白帽子 | Rank:116 漏洞数:35 | 不要等到命玩你的时候才开始玩命)
-
2013-07-26 14:53 |
B1acken ( 普通白帽子 | Rank:174 漏洞数:56 | 渣渣)
-
2013-07-26 16:26 |
M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)
-
2013-07-26 16:26 |
M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)
-
2013-07-26 17:39 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
-
2013-07-26 18:07 |
Anonymous ( 普通白帽子 | Rank:146 漏洞数:30 | 园长是大傻逼)
http://qqyewu.com/soft/2/2013/201307267998.html 扇巴掌了
-
2013-07-26 18:14 |
Anonymous ( 普通白帽子 | Rank:146 漏洞数:30 | 园长是大傻逼)
-
2013-07-26 19:15 |
小震 ( 路人 | Rank:8 漏洞数:3 | ~)
@M4sk 那是本来就设计的。。。就跟之前支付宝直接用支付密码加账号买一样的。。
-
2013-07-26 19:21 |
小震 ( 路人 | Rank:8 漏洞数:3 | ~)
只是某非PC页面限制不严而已= = 。我还以为哪里绕过呢。。。
-
2013-07-27 02:12 |
一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)