当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-058038

漏洞标题:实例证明淘宝网钓鱼漏洞到底有多大的危害呢

相关厂商:淘宝网

漏洞作者: px1624

提交时间:2014-04-22 12:37

修复时间:2014-04-25 17:42

公开时间:2014-04-25 17:42

漏洞类型:钓鱼欺诈信息

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-04-22: 细节已通知厂商并且等待厂商处理中
2014-04-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

可能从技术层面来说,钓鱼漏洞大多数厂商的感觉是不痛不痒的,甚至有些厂商都不认为是漏洞。但是钓鱼漏洞的危害到底有多大呢?看了这个漏洞分析你就知道了。

详细说明:

最近有个朋友向我求助,说是自己的淘宝和银行卡的密码被盗了,然后我问他最近有没有在淘宝交易过,然后从他所说的情况中,我觉得他是被钓鱼了,然后通过我的分析和验证也确认了这点。下面来看看黑客是用怎样的手法来欺骗用户的。
#1 朋友说自己在淘宝买了个XX,然后付款后卖家联系自己说他们的商品是货到付款的,在线支付的都是无效的,要给他退钱。朋友肯定也不是没有提防心里,然后就问对方自己的商品订单号,然后对方准确的说出了他的姓名、电话号码、订单号码等信息。
然后给他发了一个退款地址,要他尽快“完成退款,以免造成自己不必要的损失”。
#2 这个过程在普通人看起来似乎没什么问题,但是就是这样的一个操作,自己的大量敏感信息(包括淘宝账号、登录密码、支付密码、手机号、姓名、身份证号、银行卡号、取款密码、网银密码、CVN2等)就被黑客给盗走了。
#3 下面来看下黑客的钓鱼手法:
发给用户所谓的退款地址,然后用户打开如下:

1.jpg


一般没有安全意识的买家是不会发现有啥异常的,因为网站页面和淘宝模仿的是极为相似的
当你点击下一步的时候,会跳转到银行卡选择,然后点击下一步的时候会转到填写银行卡信息(其实在这个时候,你的淘宝帐号、登录密码、支付密码就已经被盗了)。

2.jpg


3.jpg


用户看到还要填写这么多信息,但是想到给自己退钱的,所以还是一个一个认认真真的填写了(他这里对于输入框还是有些正则判断的),然后终于填写完了,提交“等待退款”。
纳尼!点击确认退款按钮竟然提示系统繁忙了!然后买家赶紧去问卖家怎么回事,卖家以比如说系统暂时有问题怎么怎么的去糊弄一下买家,或者之家就不鸟你了,因为此时,你的大量信息,包括淘宝账号、登录密码、支付密码、手机号、姓名、身份证号、银行卡号、取款密码、网银密码、CVN2等,已经被黑客给窃取掉了。

4.jpg


漏洞证明:

#4 首先,当我得知朋友是被钓鱼后,我让朋友给我提供了那个卖家发给他的地址,也就是那个钓鱼地址。
通过测试发现这个钓鱼链接中是存在XSS的,所以果断插入了XSS代码进行了盲打获取cookie。
然后成功获取到了cookie,通过cookie进入到了后台,可以看到,后台的数据其实远远不止这么点,有些应该是已经被黑客给转以后删除掉了。

5.jpg


#5 可以看到里面每天都有人中招,txt中有大量的用户信息,包括淘宝账号、登录密码、支付密码、手机号、姓名、身份证号、银行卡号、取款密码、网银密码、CVN2等。

6.jpg


最重要的一点是,对于普通用户来说,这种钓鱼攻击是他们防不胜防的!

修复方案:

这里怀疑是淘宝卖家的账户被黑客控制了,然后黑客利用一些信息去让用户信任,从而实现钓鱼诈骗。当然,如果没有这些关键信息的话,也是可以群发给旺旺用户。看到这里是不是觉得这种钓鱼诈骗防不胜防呢!
或者是黑客用虚假信息注册了淘宝店铺,然后以低价等行为去诱导用户购买,然后进行钓鱼诈骗。
其实,比起其他漏洞,钓鱼漏洞的诈骗成功率是高之又高的,原因大概如下:
1 中国网民普遍安全意识较低
2 厂商不认为这是自己的漏洞,从而不去进行控制
3 安全厂商大部分都是当钓鱼网站有存在一定时间后,接到了大量举报,才去标记这些,但是此时已经有大量用户中招了。
防范措施:
1 厂商对用户进行安全意识的普及,比如上图中通过url的域名,就可以很直观的判断其为钓鱼网站。可悲的是据统计现在的中国网民中,平均1000个用支付宝的人,只有1个人知道官方的域名是啥。
2 长期对这些钓鱼网站进行排查打击。

版权声明:转载请注明来源 px1624@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-04-25 17:42

厂商回复:

感谢您对我们的关注和支持!

最新状态:

暂无


漏洞评价:

评论

  1. 2014-04-22 12:38 | 超威蓝猫 ( 核心白帽子 | Rank:1092 漏洞数:117 | STEAM_0:0:55968383)

    ._.

  2. 2014-04-22 12:38 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    哟,走高端路线了啊?

  3. 2014-04-22 12:45 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @小胖子 本来还是走的低端,后得高人指点,我觉得的确发漏洞不能仅仅因为他是个漏洞就发。。。

  4. 2014-04-22 12:49 | Focusstart ( 普通白帽子 | Rank:574 漏洞数:163 | 努力让某某某成为最幸福的女人!)

    @px1624 那要怎么样才发呢?求指导~

  5. 2014-04-22 12:51 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @Focusstart 分析了漏洞的危害,影响,利用过程等情况,不是XSS就弹个1,CSRF漏洞就给个poc。。。

  6. 2014-04-22 13:06 | nzk1912 ( 实习白帽子 | Rank:41 漏洞数:10 | 软件开发8年了,也来挖挖漏洞,为创建安全...)

    @px1624 求高人指点一二~有没有入门教程啥的~用不用考证书?哈哈

  7. 2014-04-22 13:25 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    不是XSS就弹个1,CSRF漏洞就给个poc感觉这句话会火@px1024 你角的呢

  8. 2014-04-22 13:46 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @zzR 应该火不了吧,能不能火很大程度上是决定于谁说出来的

  9. 2014-04-22 14:35 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    唉呦!不错哦!

  10. 2014-04-22 14:38 | 卡卡 ( 普通白帽子 | Rank:447 漏洞数:52 | <script>alert('安全团队长期招人')</scrip...)

    你们在说什么,好像很厉害的样子~~

  11. 2014-04-22 15:16 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @小川 来么一个。

  12. 2014-04-22 15:37 | f4ckbaidu ( 普通白帽子 | Rank:182 漏洞数:23 | 开发真是日了狗了)

    mark

  13. 2014-04-22 16:00 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    @小胖子 去找px搞基

  14. 2014-04-25 19:27 | xiaoL ( 普通白帽子 | Rank:361 漏洞数:67 | PKAV技术宅社区!Blog:http://www.xlixli....)

    看着大神在扯淡都特别开心- -

  15. 2014-04-25 19:28 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    这个好像不是淘宝的问题 ..钓鱼哪里都有吧

  16. 2014-04-25 19:35 | 小怿 ( 路人 | Rank:29 漏洞数:6 | )

    很难说是那里的问题,有可能淘宝的卖家号被盗了,或者买家号被盗了。我平时网购名字都用多个假名,这样我就知道是哪个店了,对付这种钓鱼的,我只想对洞主说,能删除的就给他删除吧,省的他继续祸害人。

  17. 2014-04-25 20:39 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @小怿 人家官方都忽略不管了,意思就是说用户信息被盗了就盗了,和他们没半毛钱关系。那我还去帮人家删除这是啥行为?

  18. 2014-04-25 20:45 | 杜科夫斯基 ( 路人 | Rank:0 漏洞数:1 | 孤独的沙漠里,一样盛放的赤裸裸)

    牢记域名,特别是涉及到金钱交易的

  19. 2014-04-26 09:22 | insight-labs 认证白帽子 ( 普通白帽子 | Rank:623 漏洞数:75 | Security guys)

    tb也挺冤的,毕竟脑洞没法补

  20. 2014-08-05 17:41 | gaaranerd ( 路人 | Rank:1 漏洞数:1 | 一只小菜鸟,求带我飞!)

    居然忽略。。。

  21. 2014-08-05 19:27 | 革命往事 ( 路人 | Rank:17 漏洞数:2 | 革命已成往事)

    脑洞没法补,确实,厂商也无奈