当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0154892

漏洞标题:光大银行手机客户端源码泄露风险

相关厂商:光大银行

漏洞作者: 路人甲

提交时间:2015-11-24 14:38

修复时间:2016-01-11 15:56

公开时间:2016-01-11 15:56

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-24: 细节已通知厂商并且等待厂商处理中
2015-11-27: 厂商已经确认,细节仅向厂商公开
2015-12-07: 细节向核心白帽子及相关领域专家公开
2015-12-17: 细节向普通白帽子公开
2015-12-27: 细节向实习白帽子公开
2016-01-11: 细节向公众公开

简要描述:

有时管理漏洞、人的因素带来的安全隐患会比bug更大

详细说明:

在研究银行Android手机客户端时偶然在taocode里看到一个公开项目,里面疑似有该银行的Android手机客户端源码。checkout出来看了一下,发现该项目中除了银行源码外,还包括有关该外包厂商的公司架构、人员信息、以及另一个项目的源码等文件。从文件内容来看,应该是员工没有认识到文件重要性给上传了。但源代码对于银行、对于外包厂商而言都应是核心机密,一旦泄露就有可能带来较大安全隐患。

漏洞证明:

该项目地址:http://**.**.**.**/p/work_projects/src/
打开银行Android工程,可以顺利编译。

123.png


虽然源代码是2.0版本,而该行当前最新版本是3.0,但是2.0版仍可以成功运行,并且无提示签名异常、无提示要求升级。

124.png


没有该行卡,简单测了一下登陆,和3.0版的提示信息都一样。

125.png


通信过程也正常

126.png


厂商相关资料不再截图。

修复方案:

要求外包厂商整改,严防外包风险。

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:9

确认时间:2015-11-27 15:54

厂商回复:

CNVD未直接复现所述情况,已经转由CNCERT向银行业信息化主管部门通报,由其后续协调网站管理单位处置。

最新状态:

暂无


漏洞评价:

评价