当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-038387

漏洞标题:支付宝付款时密保工具(短信验证,宝令等)绕过

相关厂商:支付宝

漏洞作者: 丢小丢

提交时间:2013-09-28 10:08

修复时间:2013-09-30 11:14

公开时间:2013-09-30 11:14

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:7

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-09-28: 细节已通知厂商并且等待厂商处理中
2013-09-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

支付宝付款时,绕过密保工具(短信验证,宝令,数字证书等)的验证。

详细说明:

简单说就是
支付宝设置了支付验证密保工具,到了wap版就无验证机制了
即使用户设置了支付宝付款需要验证密保工具(比如手机验证码,宝令,动态密码,电子证书),只要先把订单提交,到验证密保这一步。
换手机上wap的支付宝,
找到未支付订单,就可以只凭支付密码完成支付。
简单的验证机制问题,
既然出了支付二次验证密保,
就应该做好,不能光在电脑上验证。
虽然说只有快捷支付和余额支付可以绕过。
但还是挺严重的问题。因为密保工具就是为了“当用户帐号密码等信息泄漏时用户账户资金安全”如果可以绕过,他们也就没有存在意义了.

漏洞证明:

简单拍下一个商品支付。

2.png


你看这里需要同时验证支付宝支付密码和宝令动态口令。关了这个页面换手机

4.png


找到这个未提交订单,页面上只有一个支付密码输入框。只凭支付宝支付密码就可进行支付。宝令之类的密保工具是不需要的。

5.png


支付成功了。
虽然不是太严重的问题,不过终究是验证体系里的短板。

修复方案:

估计是支付宝考虑到手机wap页面的限制,没法验证某些密保(比如-数字证书),就设置为只需要支付密码就可以完成支付了。这就成了验证系统里的短板。其实可以强制wap支付宝支付时,验证短信验证码。

版权声明:转载请注明来源 丢小丢@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-09-30 11:14

厂商回复:

感谢对支付宝系统安全的支持与关注。

最新状态:

暂无


漏洞评价:

评论

  1. 2013-09-28 12:40 | 艾特绅 ( 路人 | Rank:21 漏洞数:5 | 愿意为网络安全做出我的贡献)

    关注

  2. 2013-09-28 12:50 | 萧然 ( 路人 | Rank:0 漏洞数:2 | 喜欢一切美丽的东西!)

    发财的洞+1

  3. 2013-09-29 15:34 | 丢小丢 ( 路人 | Rank:0 漏洞数:2 | 爱好,只是单纯的爱好)

    @萧然 只是绕过支付验证,确认收货时的密保工具绕不过,只能等到时间自动确认收货。。。这就要等好久了,容易被发现。

  4. 2013-09-30 11:25 | ACGT ( 实习白帽子 | Rank:32 漏洞数:4 | another script kiddie)

    @丢小丢 那时候攻击者已经收到赃物了,还管什么确认不确认

  5. 2013-09-30 11:27 | NULL0 ( 路人 | Rank:18 漏洞数:3 | ..............)

    发财的洞+1

  6. 2013-09-30 11:41 | 丢小丢 ( 路人 | Rank:0 漏洞数:2 | 爱好,只是单纯的爱好)

    @ACGT 支付宝忽略漏洞,汗一个!

  7. 2013-09-30 11:47 | 丢小丢 ( 路人 | Rank:0 漏洞数:2 | 爱好,只是单纯的爱好)

    @ACGT 地址啊!你填的地址是个大问题。如果被用户提前发现。那就麻烦了。不过。。如果你就是网店店主,那就无所谓啦,随便编个地址就行了。

  8. 2013-10-04 17:47 | 大仙 ( 路人 | Rank:5 漏洞数:1 )

    我记得要安装支付宝钱包或者控件才能付款成功吧~

  9. 2013-10-08 16:34 | 丢小丢 ( 路人 | Rank:0 漏洞数:2 | 爱好,只是单纯的爱好)

    @大仙 他会提示让你认证,无视就好了。