当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-033782

漏洞标题:支付宝存在任意读取(泄露)任意账户姓名缺陷

相关厂商:支付宝

漏洞作者: godlong

提交时间:2013-08-08 10:52

修复时间:2013-09-22 10:53

公开时间:2013-09-22 10:53

漏洞类型:内容安全

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-08-08: 细节已通知厂商并且等待厂商处理中
2013-08-09: 厂商已经确认,细节仅向厂商公开
2013-08-19: 细节向核心白帽子及相关领域专家公开
2013-08-29: 细节向普通白帽子公开
2013-09-08: 细节向实习白帽子公开
2013-09-22: 细节向公众公开

简要描述:

支付宝存在任意读取(泄露)任意账户姓名缺陷,容易被攻击者利用于社会工程学攻击和不法分子的人肉搜索中,造成严重的安全风险,这是支付宝所不用看到的。也正是由于存在这个风险,支付宝的付款信息会予以马赛克屏蔽掉姓氏,利用本缺陷,将可以读取任意账号(邮箱&手机号)存在支付宝数据库的真实姓名。

详细说明:

1.首先使用手机打开wap.alipay.com。我测试的是触屏版!标准版似乎没有转账功能,那我就不测试了!
2.点击“我要付款”进入付款转账页面。

IMG_1564.PNG


3.输入对方的账号(邮箱 or 手机号),这里我输入我领导的手机号码152022**662,输入付款理由“安全测试”,然后金额0.1元(也就是每次查询一个信息最少要转账0.01元哦,当然看完下面你也可以不回复短信确认...),确定转账。

IMG_1566.PNG


IMG_1567.PNG


4.输入支付密码,确认付款。至此信息都正常屏蔽,比如出现*丽,而没出现姓氏。但是接下来短信来了,直觉告诉我这是个洞,居然把收款方的姓氏都显示出来了!OK!目的达到,可以不用付钱了,得知该账号的真实姓名就达到目的了!可以进行下一步的攻击了

IMG_1568.PNG


=================================================================
www版的alipay便不存在此问题:) 但是安全是一个木桶原理的体系,取决于最短木板,wap网站泄露了信息,www主站隐藏再好有什么用呢!截取几张图:)

alipay.png


正常马赛克

alipay1.png


正常马赛克

alipay2.png


正常马赛克

漏洞证明:

图中的红圈就是把不该输出的东西输出了,即为漏洞所在。

IMG_1568.PNG

修复方案:

我认为的修复方案:将验证短信中的姓氏屏蔽掉即可!检查所有转账功能的姓氏输出问题,我相信安卓,ios,wp,symbian可能还会存在这种情况!
此漏洞和这2个漏洞有所相似,修复你们更加专业!支付宝是我认为一向为数不多最懂细节的一家公司!特别在信息安全这方面更应该注重细节!
WooYun: 淘宝、支付宝任意用于姓名读取
WooYun: 支付宝手机客户端用户信息泄露
Rank请看着给吧!多多善意 :)

版权声明:转载请注明来源 godlong@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2013-08-09 14:35

厂商回复:

非常感谢您的反馈,我们正在进行处理。

最新状态:

暂无


漏洞评价:

评论

  1. 2013-08-08 11:01 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    哇塞。。

  2. 2013-08-08 12:14 | 漫步云端 ( 普通白帽子 | Rank:196 漏洞数:33 | I'm Ramble!)

    目测是手机方式转账

  3. 2013-08-08 12:48 | Acn ( 路人 | Rank:21 漏洞数:4 | 我是一个大菜鸟')

    有你这样骗rank?我就说吧,在给朋友充值的哪里,输入对方的支付宝,金额随便,就可以知道对方姓名,我还会告诉你,还有一处吗?

  4. 2013-08-08 12:58 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    月经洞

  5. 2013-08-08 13:11 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @Acn 炫耀总归不太好。。如果还有一处,直接提交吧。。这样说出来,有点不合适。。

  6. 2013-08-08 13:22 | godlong ( 实习白帽子 | Rank:68 漏洞数:7 | 戴着白色帽子的白帽子...)

    @Acn 呵...明确告诉你不是此处,你可以提交你的,想要炫耀请去XX论坛发帖去...只能对你呵呵呵了,还骗rank了,想象力真丰富!rank也能骗?你骗点给我看看呢? =========@鬼魅羊羔 3L的回复让我看到了乌云这个林子大了真是什么人都有啊...谢谢!=========@xsser 确实是月经了,我是上月见@cnbrid牛发的 WooYun: 支付宝手机客户端用户信息泄露 才觉得这也算是个洞吧!就发wooyun上来了。另外wooyun评论应该支持分段吧,剑心修改下吧,thx! :)

  7. 2013-08-08 16:53 | 有妹子送上 ( 实习白帽子 | Rank:89 漏洞数:28 | 杭州最帅的男人)

    点击感谢即可骗rank

  8. 2013-08-08 18:25 | LauRen ( 路人 | Rank:4 漏洞数:1 | 苦逼屌丝一枚。)

    我会说在某地方还有一处吗

  9. 2013-08-30 08:52 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    给别人转 自己的姓名也会暴露给对方(短信中) 岂不是也算BUG?

  10. 2013-08-30 11:49 | Acn ( 路人 | Rank:21 漏洞数:4 | 我是一个大菜鸟')

    @齐迹 这个应该不算,毕竟现在没有其他的用户信息的核实方式,其实我认为,做成用户ID还是好点!