当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0135952

漏洞标题:中信证券手机自助开户客户端逻辑设计错误(各种用户信息和数据泄漏)

相关厂商:中信证券

漏洞作者: 路人甲

提交时间:2015-08-21 23:07

修复时间:2015-10-07 22:32

公开时间:2015-10-07 22:32

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-21: 细节已通知厂商并且等待厂商处理中
2015-08-23: 厂商已经确认,细节仅向厂商公开
2015-09-02: 细节向核心白帽子及相关领域专家公开
2015-09-12: 细节向普通白帽子公开
2015-09-22: 细节向实习白帽子公开
2015-10-07: 细节向公众公开

简要描述:

中信证券手机自主客户端,手机注册验证逻辑设计存在缺陷,导致能够大量枚举手机号码,以及泄漏用户身份证、帐号、验证码等详细信息

详细说明:

看到股市跌的这么惨,打算进去抄底了,于是选了中信,一看这APK这界面,这注册流程,总是让人不放心,果不其然。

step1.png


中信证券注册界面,burp抓一下发现这张页面竟然是本地开的http server:

Screenshot_2015-08-21-20-19-35.png


Screenshot_2015-08-21-20-21-02.png


端口是随机的,截图这次的端口号是16959.既然有端口,那对它做的事情就更加好奇了,继续跟下去,点击注册:

step2.png


输入手机号之后,可以获取验证码,按钮会变灰,60S之后才能再获取,乍一看挺正常的逻辑。在看下burp的包:

step3.png


注册验证的包也是发往本地的,然后通过http server 转发到中信的server上进行注册检查,上tcpdump抓了一下本地包,wireshark中查看下并没有发现有发往外网的包有明显的明文信息(手机号)。
看到这种界面就会想到,模拟这个流程看下他60s限制获取验证码的逻辑,发现根本在后端这个60s的限制形同虚设,只要post参数到 127.0.0.1/reqxml就会发送验证码,被人恶意利用,就可以搞短信骚扰。从此,60s的逻辑沦陷。
事情并没有到此结束,post的数据返回并没有想象的那么简单,还是有丰富的信息,测试了几个号码,返回数据:

step4.png


CHECKCODE一猜就知道是啥,没错就是验证码,这个验证码短信跟网络数据都会返回。这验证码人人都可以得到,这里验证码逻辑又沦陷了。
上面的号码是没有注册过中信证券的,给一个注册过中信证券的手机号再来看下返回数据,信息就更加丰富了,不是简简单单的checkcode和错误码,而是注册时的各种信息。

漏洞证明:

该有的都有了,就差密码了:

step5.png


绕过60s,枚举手机号发送短信,返回短信验证码:

step6.png

修复方案:

重新审核下代码,反编译了一下隐隐约约觉着应该还有很多问题,枚举手机号导致用户信息泄露,这种理财信息账户,恐怕是很有价值的,泄漏会带来很多损失,无限制发短信也很可能被不法分子利用,以上几个逻辑赶紧修复下,吓得的我都想注销账户了。

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-08-23 22:30

厂商回复:

正在联系相关团队积极修复

最新状态:

暂无


漏洞评价:

评论

  1. 2015-08-22 12:10 | 问题来了 ( 普通白帽子 | Rank:201 漏洞数:23 | 挖漏洞哪家强)

    可否提供下 apk 下载连接