当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-053150

漏洞标题:中国工商银行账户可批量猜测导致信息泄露(无法转账)

相关厂商:中国工商银行

漏洞作者: 小r00to1

提交时间:2014-03-09 15:54

修复时间:2014-04-23 15:54

公开时间:2014-04-23 15:54

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-03-09: 细节已通知厂商并且等待厂商处理中
2014-03-14: 厂商已经确认,细节仅向厂商公开
2014-03-24: 细节向核心白帽子及相关领域专家公开
2014-04-03: 细节向普通白帽子公开
2014-04-13: 细节向实习白帽子公开
2014-04-23: 细节向公众公开

简要描述:

中国工商银行账户批量猜测,导致信息泄露,工商银行登录方式可以自己设置用户名,如果让不法分子利用,则可能出现暴力破解登录,从而造成账户信息的泄露。

详细说明:

1.开通正常网银,登录,点击:客户服务-个性化定制-个性化定制:然后抓包验证第二种登录方式中的登录用户名的合法性:如图:

0.png


这里有两种情况:
一:用户名可以通过,这就证明这个名字还没有被使用,没有利用价值。
二:用户名提示叉号,则证明这个名字已经被使用了,可以利用一下下,当然凭运气了。
这里我使用了好多名字进行验证,像:史珍香(shizhenxiang),王伟(wangwei)等常用名字,然后将用户名作为密码登录:如图提示:

.png

账号冻结,我可是仅仅尝试了一次,就是这个信息,证明有人登陆次数过多,才冻结的。之后利用少于6个字符的尝试猜解出现如图所示:

4.png


大粪(dafen),这种短的名称给了贵宾用户,其实这是安全的,一会会说。
2.开始抓包,跑字典,猜解已经使用过的用户名:
一:先使用httpwatch:如图:

0.png

使用:nidaye 抓包截图:

6.png

注意返回信息。再用:wodayede抓包截图:

7.png

再次注意返回信息。都明白。。。。
3.利用burp抓包,批量测试:
如图:

23.png

54.png

发送到攻击模块

24.png

把:shuoshenme作为变量,执行字典,这里测试举了几个极端例子,如图:

234.png

看返回长度就清楚,像wangyi、wangwei,这样的名字应该已经被注册了,再看看burp的返回值:注意两张图的对比:

123.png

565.png

返回值不同。
4.只后利用猜解到的账号,将账号作为密码,到前台登录页面进行验证,这里要说明一点,先看图:

2.png

这里是登陆密码的修改,“必须为数字和字母的组合,且要长于六位”,所以在跑字典猜解用户名的时候就要使用字母和数字作为用户名,因为你要使用用户名作为登录密码,而密码是有限制的。在说说上面那种少于六位的用户名,其实这种用户名是安全的,因为密码的长度导致了,这种短的用户名不可能作为密码登录。
5.登录成功后,就可以查看你要的信息了,至于转账,似乎没有可能,因为需要U盾。

漏洞证明:

修复方案:

1.严格账户控制体系。
2.登录密码不能和用户名相同。

版权声明:转载请注明来源 小r00to1@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2014-03-14 21:29

厂商回复:

CNVD确认所述情况,已经转由CNCERT直接转报给网站管理单位信息化主管部门,根据其反馈,已经在第一时间制定修复方案。

最新状态:

暂无


漏洞评价:

评论

  1. 2014-03-09 15:59 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    银行使用身份证或手机号码作为用户名进行认证就是一个奇葩的做法。

  2. 2014-03-09 16:11 | 小r00to1 ( 普通白帽子 | Rank:138 漏洞数:42 )

    @zeracker 哈哈

  3. 2014-03-10 00:12 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    @zeracker 大多股份制银行就喜欢这样……

  4. 2014-03-10 11:49 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)

    @zeracker 尤其是手机特别是移动SIM卡手机号弱爆了

  5. 2014-03-10 14:21 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

    可以自己设置用户名 中国银行也是这样