当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-049877

漏洞标题:安全配置缺失导致链路窃听可窃取支付宝Cookie

相关厂商:支付宝

漏洞作者: CplusHua

提交时间:2014-01-27 17:16

修复时间:2014-03-13 17:16

公开时间:2014-03-13 17:16

漏洞类型:应用配置错误

危害等级:中

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-01-27: 细节已通知厂商并且等待厂商处理中
2014-01-28: 厂商已经确认,细节仅向厂商公开
2014-02-07: 细节向核心白帽子及相关领域专家公开
2014-02-17: 细节向普通白帽子公开
2014-02-27: 细节向实习白帽子公开
2014-03-13: 细节向公众公开

简要描述:

安全配置缺失导致链路窃听,可窃取支付宝Cookie

详细说明:

如果用户使用网页版支付宝的链路存在窃听,可以结合ARP欺骗攻击或者简单的社工在浏览器不伪造https证书错误的情况下获取支付宝Cookie。

漏洞证明:

302.png

此处存在302跳转服务器返回302,说明用户Cookie信息已经被使用HTTP明文发送到服务器。
利用方法:攻击者可以结合ARP欺骗或者简单的社工,让用户访问http://www.alipay.com(非https) 来将已登陆用户的Cookie通过http方式发送出来,这个时候只要进行链路上的窃听即可窃听到用户的Cookie
https://my.alipay.com 不存在该问题,故判定这个问题可能是应用配置错误,而非支付宝没有注意这个问题。
另:此问题不仅影响支付宝,许多国内的支付平台没有注意到这个问题的严重性,也就是有许多支付账号存在被攻击的一个重要方面。
[希望楼下大牛不要欺负我哦~~ 亲~]

修复方案:

我想支付宝对于这个问题只是个配置问题,肯定很明白这个问题如何修复。
paypal首页就已经向客户端浏览器发送了Strict-Transport-Security: max-age=16070400; includeSubDomains,建议支付宝也加入包含所有域名这个选项。
参考文档:http://dev.chromium.org/sts
过年了,辛苦了~

版权声明:转载请注明来源 CplusHua@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2014-01-28 10:53

厂商回复:

非常感谢你对支付宝安全的关注

最新状态:

暂无


漏洞评价:

评论