漏洞概要
关注数(24)
关注此漏洞
漏洞标题:银行业(招商银行)设计缺陷可被穷举攻击
提交时间:2015-01-18 04:07
修复时间:2015-03-04 04:08
公开时间:2015-03-04 04:08
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-01-18: 细节已通知厂商并且等待厂商处理中
2015-01-19: 厂商已经确认,细节仅向厂商公开
2015-01-29: 细节向核心白帽子及相关领域专家公开
2015-02-08: 细节向普通白帽子公开
2015-02-18: 细节向实习白帽子公开
2015-03-04: 细节向公众公开
简要描述:
缺陷1:银行类设计缺陷,每张银行卡的开始区间是地址码,接着是地区码,再按照卡号ID顺序为客户发卡,银行卡的卡号可被枚举,同时所有银行只允许用户使用6位数字的密码,都互联网银行了,实在无法理解。
缺陷2:2011年,互联网泄密事件引爆了整个信息安全界,导致传统的用户+密码认证的方式已无法满足现有安全需求,某酒店的数据泄露,导致几千万用户身份证被公开,如果银行还允许客户使用身份证作为登录账号的话,而中国人又偏偏喜欢用生日做为密码,更无语的是身份证里面还包含生日。
# 每个身份标识一天能尝试登录5次,999999个密码要500年才能破解,可总有一些人的密码有规律可猜(非常非常喜欢用自己、爱人、子女的生日做密码),300101,1930年1月1日 -- 2015年1月18日,密码一下变成了31025个,哈哈哈哈哈哈哈哈
详细说明:
#1 利用设计缺陷,通过公开渠道获取到的身份证,以用户生日为密码,同时因为招商银行的登陆接口验证码可识别,即可直接批量穷举。
#2 移动银行网页版并没有安全控件,可以轻松提交
#3 网页版理论上也可以
漏洞证明:
#4 验证码真的太简单
根据以上滤镜建立字模后,就能轻松实现识别招商银行的数字验证码了
移动版验证码机器识别
网页版验证码机器识别
系统自带贴心小功能,告诉你这个身份证的人是屌丝,连申请信用卡的级别都没到(图片里面那个人是我,说的我自己,开个玩笑,不是嘲笑)
穷举后可以看到用户的账单
用户信息
消费记录(可能你们觉得这不算啥,不会在意的,最关心这些的估计也就只有坏人了)
修复方案:
版权声明:转载请注明来源 猪猪侠@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2015-01-19 17:07
厂商回复:
感谢对招商银行的安全关注。由于银行卡需在POS、ATM等场合跨行使用,卡号必须有统一的编码规则,密码必须是设备支持的数字。我行已通过各种途径提示客户避免使用生日等容易猜测的密码。网银及手机银行的安全是一个综合防护体系,除密码外,我行交易还有手机短信验证码、UKEY等其他安全措施保障资金安全,请用户放心使用。
最新状态:
暂无
漏洞评价:
评论
-
2015-01-18 04:09 |
猪猪侠 ( 核心白帽子 | Rank:3224 漏洞数:207 | 你都有那么多超级棒棒糖了,还要自由干吗?)
在个人电脑上,同IP用按键精灵自动尝试了30个身份证号,未被安全规则拦截
-
2015-01-18 04:20 |
#6c6c6c ( 普通白帽子 | Rank:291 漏洞数:46 | 像一条狗孤独的活着,渴望的活着,绝望的活...)
-
2015-01-18 06:44 |
JulyTornado ( 普通白帽子 | Rank:339 漏洞数:43 | 善战者,无赫赫之功)
-
2015-01-18 08:02 |
围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)
-
2015-01-18 09:03 |
’‘Nome ( 实习白帽子 | Rank:55 漏洞数:15 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)
@猪猪侠 猪哥能否把你字典丢我份???感觉你字典如此庞大呢~~~~先谢谢了
-
2015-01-18 10:00 |
he1renyagao ( 普通白帽子 | Rank:225 漏洞数:29 | 是金子总会发光,在还未发光之前,先打磨打...)
-
2015-01-18 11:17 |
泳少 ( 普通白帽子 | Rank:231 漏洞数:78 | ★ 梦想这条路踏上了,跪着也要...)
-
2015-01-18 11:34 |
BeenQuiver ( 普通白帽子 | Rank:101 漏洞数:26 | 专注而高效,坚持好的习惯千万不要放弃)
-
2015-01-18 11:46 |
李宇航的小柠檬 ( 路人 | Rank:5 漏洞数:1 | 小柠檬甜不甜)
-
2015-01-18 13:59 |
猪猪侠 ( 核心白帽子 | Rank:3224 漏洞数:207 | 你都有那么多超级棒棒糖了,还要自由干吗?)
猪猪侠居然在刷验证码的洞。他在我心目中高大的形象瞬间坍塌成黑洞了。
-
2015-01-18 14:00 |
px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)
-
2015-01-18 14:02 |
猪猪侠 ( 核心白帽子 | Rank:3224 漏洞数:207 | 你都有那么多超级棒棒糖了,还要自由干吗?)
@泳少 这个登录名和密码是可以算到的,所以应该是穷举攻击,只发了两个穷举,一个撞库
-
2015-01-18 16:20 |
泳少 ( 普通白帽子 | Rank:231 漏洞数:78 | ★ 梦想这条路踏上了,跪着也要...)
@猪猪侠 原来如此,不如过几天咱们研究下乌云?只要不被@疯狗 吊起来打就好了
-
2015-01-18 16:43 |
’‘Nome ( 实习白帽子 | Rank:55 漏洞数:15 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)
@泳少 @猪猪侠 、、、、、祝你俩黑乌云成功~~~ 我潜水
-
2015-01-18 16:51 |
’‘Nome ( 实习白帽子 | Rank:55 漏洞数:15 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)
猪猪侠居然在刷验证码的洞。他在我心目中高大的形象瞬间坍塌成黑洞了。
-
2015-01-18 21:20 |
葫芦岛小弱智 ( 路人 | Rank:19 漏洞数:4 | 葫芦岛小弱智)
我的CenturionCard是否也存在此类漏洞!
-
2015-02-04 16:04 |
命运 ( 路人 | Rank:2 漏洞数:1 | 我是来乌云秀智商下限的~~)
-
2015-02-18 03:02 |
袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:54 | 故乡的原风景.MP3)
@猪猪侠 猪猪侠居然在刷验证码的洞。他在我心目中高大的形象瞬间坍塌成黑洞了。 这是上错马甲了麽?
-
2015-02-27 23:26 |
BeenQuiver ( 普通白帽子 | Rank:101 漏洞数:26 | 专注而高效,坚持好的习惯千万不要放弃)
-
2015-03-04 07:53 |
90Snake ( 普通白帽子 | Rank:109 漏洞数:41 | 最大的漏洞就是人)
猪猪侠居然在刷验证码的洞。他在我心目中高大的形象瞬间坍塌成黑洞了。 这是上错马甲了麽?
-
2015-03-04 10:22 |
静默 ( 路人 | Rank:8 漏洞数:1 | 安全小白)
猪猪侠居然在刷验证码的洞。他在我心目中高大的形象瞬间坍塌成黑洞了。 这绝对是上错马甲了啊,看看这页没有杀气王子哦。
-
2015-04-23 09:22 |
胡小树 ( 实习白帽子 | Rank:60 漏洞数:8 | 我是一颗小小树)