当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-043270

漏洞标题:支付宝某服务可查用户真实姓名不需要是好友(零成本)

相关厂商:支付宝

漏洞作者: 愤怒的大蘑菇

提交时间:2013-11-18 18:17

修复时间:2013-11-20 14:07

公开时间:2013-11-20 14:07

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:3

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-11-18: 细节已通知厂商并且等待厂商处理中
2013-11-20: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

淘宝进行某项服务时暴露出用户的全名

详细说明:

在支付宝充值中,点击给他人充值金额。然后输入对方手机号,随便输入一个金额,点击确认,即可看到对方真实姓名。不需要好友。我在网上找了一个号码。试试了。

漏洞证明:

1.png

2.png

3.png

4.png


再测试一个

QQ截图20131118181549.jpg


QQ截图20131118181218.jpg

修复方案:

版权声明:转载请注明来源 愤怒的大蘑菇@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-11-20 14:07

厂商回复:

感谢您对支付宝安全的关注

最新状态:

暂无

漏洞评价:

评论

  1. 2013-11-18 18:21 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    你说的是支付宝转账的个人主页版本功能么额?

  2. 2013-11-18 18:30 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)

    日,最烦提交这种的,以后又不好查骗子了。

  3. 2013-11-18 18:35 | sdj ( 实习白帽子 | Rank:45 漏洞数:6 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    你说的是手机端我要收款吗

  4. 2013-11-18 19:37 | 丶潇洒哥 ( 路人 | Rank:5 漏洞数:2 | 我是一枚农民工。)

    真是个神奇的路人甲。

  5. 2013-11-18 20:18 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 承接:钻井,架工,木工,电工,水暖工,力...)

    神奇的路人甲。

  6. 2013-11-18 20:22 | 熊猫 ( 实习白帽子 | Rank:64 漏洞数:33 | panda)

    忽略

  7. 2013-11-18 21:44 | 愤怒的大蘑菇 ( 路人 | Rank:0 漏洞数:1 | 螃蟹在剥我的壳,笔记本在写我,漫天的我落...)

    忽略就忽略吧、混个帐号也是极好的。

  8. 2013-11-18 21:45 | 愤怒的大蘑菇 ( 路人 | Rank:0 漏洞数:1 | 螃蟹在剥我的壳,笔记本在写我,漫天的我落...)

    @px1624 让各位看官见笑了、o(∩_∩)o

  9. 2013-11-18 22:11 | 剑无名 ( 普通白帽子 | Rank:146 漏洞数:32 | 此剑无名。)

    @愤怒的大蘑菇 用了看官一词,说明你是个马甲。啊哈哈哈,神速。

  10. 2013-11-18 22:25 | 愤怒的大蘑菇 ( 路人 | Rank:0 漏洞数:1 | 螃蟹在剥我的壳,笔记本在写我,漫天的我落...)

    @剑无名 o(∩_∩)o

  11. 2013-11-19 07:55 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @愤怒的大蘑菇 。。。我去,这你略坑啊,果断忽略的节奏额。。。

  12. 2013-11-19 10:52 | 永久VIP ( 路人 | Rank:0 漏洞数:1 | 没什么)

    太坑了,,帅哥

  13. 2013-11-19 15:59 | iceyes ( 路人 | Rank:28 漏洞数:6 | 老马塞个里!)

    @sdj 应该就是那个

  14. 2013-11-24 15:10 | 卖火柴的小男孩 ( 路人 | Rank:23 漏洞数:4 | muyou)

    谢谢了~~11/24还是可以用~~

  15. 2013-12-26 17:53 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    @iceyes 这个为什么忽略呢。帐号全文不是重要信息么

  16. 2013-12-26 18:17 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)

    忽略是应该的 如果你自己吧重要信息发到网上 责任自负 而且这里显示出账号是为了方便验证,否则输错了你都不知道 就打款过去太危险

  17. 2013-12-26 21:50 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    有手机号了,你可以去营业厅给他交话费,也能获得手机号的。

  18. 2013-12-27 09:40 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    @hacker@sina.cn 前面类似的案例不都是利用邮箱帐号获取真实姓名么,因为这里没有涉及到支付宝帐号是吧。

  19. 2013-12-27 10:05 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)

    支付宝账号可以是邮箱或手机,但手机不是默认开通的支付账号,现在支付宝开始推广手机账号了,不过其实这里显示还是不显示名字是有争议的,有时候一方面太安全反而造成其他方面变得不安全,不能只考虑信息泄漏的危害。

  20. 2013-12-27 10:26 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    @hacker@sina.cn 恩,感谢~~那其实这个很矛盾啊感觉,其他业务不显示全名,这里如果为了更好的确认对方显示全面,那其他地方的遮盖还有什么意义么。