漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-065137
漏洞标题:演示支付宝一处隐私泄露的利用,获取3000人 (手机号/邮箱/姓名)
相关厂商:支付宝
漏洞作者: lijiejie
提交时间:2014-06-16 13:56
修复时间:2014-07-31 13:58
公开时间:2014-07-31 13:58
漏洞类型:账户体系控制不严
危害等级:低
自评Rank:3
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-06-16: 细节已通知厂商并且等待厂商处理中
2014-06-19: 厂商已经确认,细节仅向厂商公开
2014-06-29: 细节向核心白帽子及相关领域专家公开
2014-07-09: 细节向普通白帽子公开
2014-07-19: 细节向实习白帽子公开
2014-07-31: 细节向公众公开
简要描述:
支付宝一处隐私泄露,存在时间其实很长很长了。
两年前我就提过的,wooyun说支付宝会忽略,没审核通过。。。
为了证明问题真实存在,我写了点利用脚本,来获取3000人的姓名、手机号,甚至邮箱。
当然,这个利用过程相对是比较麻烦的,要写点代码。
泄露的信息可能被诈骗者、钓鱼者、广告者利用。
详细说明:
因为之前在淘宝实习过,算是自己人了,发出来权作讨论。。。
问题是这样的:
1) 给任何一个账号发起转账交易,在交易记录的地方,可以直接查看对方的真实姓名、邮箱等。
2) 可以批量转账,每次20个人
3) 创建转账交易不需要输入验证码
4) 通过枚举手机号可以猜解哪些手机是绑定了的
漏洞证明:
第一步,猜解一个手机号段,看哪些手机号已经绑定了。
我猜解了3000个。
因为支付宝对访问是有限制的,单次请求之后应该延时,防止被临时封禁IP。
第二步,批量向这3000个手机号转账,每批次20人
第三步,去账单页面抓下来这3000人的姓名、电话,部分人还可以抓到邮箱
最终数据(只取部分证明):
修复方案:
阿里的大神费心了
版权声明:转载请注明来源 lijiejie@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:3
确认时间:2014-06-19 10:02
厂商回复:
感谢你对支付宝安全的关注
最新状态:
暂无
( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)