当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-092497

漏洞标题:银行业(招商银行)设计缺陷可被穷举攻击

相关厂商:招商银行

漏洞作者: 猪猪侠

提交时间:2015-01-18 04:07

修复时间:2015-03-04 04:08

公开时间:2015-03-04 04:08

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-18: 细节已通知厂商并且等待厂商处理中
2015-01-19: 厂商已经确认,细节仅向厂商公开
2015-01-29: 细节向核心白帽子及相关领域专家公开
2015-02-08: 细节向普通白帽子公开
2015-02-18: 细节向实习白帽子公开
2015-03-04: 细节向公众公开

简要描述:

缺陷1:银行类设计缺陷,每张银行卡的开始区间是地址码,接着是地区码,再按照卡号ID顺序为客户发卡,银行卡的卡号可被枚举,同时所有银行只允许用户使用6位数字的密码,都互联网银行了,实在无法理解。
缺陷2:2011年,互联网泄密事件引爆了整个信息安全界,导致传统的用户+密码认证的方式已无法满足现有安全需求,某酒店的数据泄露,导致几千万用户身份证被公开,如果银行还允许客户使用身份证作为登录账号的话,而中国人又偏偏喜欢用生日做为密码,更无语的是身份证里面还包含生日。
# 每个身份标识一天能尝试登录5次,999999个密码要500年才能破解,可总有一些人的密码有规律可猜(非常非常喜欢用自己、爱人、子女的生日做密码),300101,1930年1月1日 -- 2015年1月18日,密码一下变成了31025个,哈哈哈哈哈哈哈哈

详细说明:

#1 利用设计缺陷,通过公开渠道获取到的身份证,以用户生日为密码,同时因为招商银行的登陆接口验证码可识别,即可直接批量穷举。
#2 移动银行网页版并没有安全控件,可以轻松提交

cmbchina_login_mobile.jpg


POST: https://mobile.cmbchina.com/MobileHtml/Login/LoginC.aspx
XmlReq:<PwdC>880808</PwdC><ExtraPwdC>2584</ExtraPwdC><LoginMode>0</LoginMode><LoginByCook>false</LoginByCook><IDTypeC>01</IDTypeC><IDNoC>430921198808082222</IDNoC><RememberFlag>false</RememberFlag><UserAgent>Mozilla/5.0 (iPhone; CPU iPhone OS 7_0 like Mac OS X; en-us) AppleWebKit/537.51.1 (KHTML, like Gecko) Version/7.0 Mobile/11A465 Safari/9537.53</UserAgent><screenW>320</screenW><screenH>568</screenH><OS>iPhone</OS>


#3 网页版理论上也可以

cmbchina_login_web.jpg

漏洞证明:

#4 验证码真的太简单

二值化:120
图像滤波:图像降噪4
线性滤波:边缘


根据以上滤镜建立字模后,就能轻松实现识别招商银行的数字验证码了
移动版验证码机器识别

mobile_yzm_ok.jpg


网页版验证码机器识别

cmbchina_web_ok.jpg


系统自带贴心小功能,告诉你这个身份证的人是屌丝,连申请信用卡的级别都没到(图片里面那个人是我,说的我自己,开个玩笑,不是嘲笑)

IMG_0181.png


穷举后可以看到用户的账单

zd.png


用户信息

profile.png


消费记录(可能你们觉得这不算啥,不会在意的,最关心这些的估计也就只有坏人了)

jilu.png

修复方案:

#1 升级验证码难度
#2 密码强度

版权声明:转载请注明来源 猪猪侠@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-01-19 17:07

厂商回复:

感谢对招商银行的安全关注。由于银行卡需在POS、ATM等场合跨行使用,卡号必须有统一的编码规则,密码必须是设备支持的数字。我行已通过各种途径提示客户避免使用生日等容易猜测的密码。网银及手机银行的安全是一个综合防护体系,除密码外,我行交易还有手机短信验证码、UKEY等其他安全措施保障资金安全,请用户放心使用。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-01-18 04:09 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:3224 漏洞数:207 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    在个人电脑上,同IP用按键精灵自动尝试了30个身份证号,未被安全规则拦截

  2. 2015-01-18 04:20 | #6c6c6c ( 普通白帽子 | Rank:291 漏洞数:46 | 像一条狗孤独的活着,渴望的活着,绝望的活...)

    @猪猪侠 这么叼...

  3. 2015-01-18 06:44 | JulyTornado ( 普通白帽子 | Rank:339 漏洞数:43 | 善战者,无赫赫之功)

    都开始搞银行了。。。

  4. 2015-01-18 08:02 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    一哥又开挂了!

  5. 2015-01-18 09:03 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:15 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    @猪猪侠 猪哥能否把你字典丢我份???感觉你字典如此庞大呢~~~~先谢谢了

  6. 2015-01-18 10:00 | he1renyagao ( 普通白帽子 | Rank:225 漏洞数:29 | 是金子总会发光,在还未发光之前,先打磨打...)

    从研究直观漏洞到设计缺陷的转变了,

  7. 2015-01-18 11:17 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:78 | ★ 梦想这条路踏上了,跪着也要...)

    @猪猪侠 说好的发两个就不发呢。

  8. 2015-01-18 11:34 | BeenQuiver ( 普通白帽子 | Rank:101 漏洞数:26 | 专注而高效,坚持好的习惯千万不要放弃)

    "哈哈哈哈哈哈哈哈哈",?

  9. 2015-01-18 11:46 | 李宇航的小柠檬 ( 路人 | Rank:5 漏洞数:1 | 小柠檬甜不甜)

    思路很好

  10. 2015-01-18 13:59 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:3224 漏洞数:207 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    猪猪侠居然在刷验证码的洞。他在我心目中高大的形象瞬间坍塌成黑洞了。

  11. 2015-01-18 14:00 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @猪猪侠 撞到牛逼的帐号了额

  12. 2015-01-18 14:02 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:3224 漏洞数:207 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    @泳少 这个登录名和密码是可以算到的,所以应该是穷举攻击,只发了两个穷举,一个撞库

  13. 2015-01-18 16:20 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:78 | ★ 梦想这条路踏上了,跪着也要...)

    @猪猪侠 原来如此,不如过几天咱们研究下乌云?只要不被@疯狗 吊起来打就好了

  14. 2015-01-18 16:43 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:15 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    @泳少 @猪猪侠 、、、、、祝你俩黑乌云成功~~~ 我潜水

  15. 2015-01-18 16:51 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:15 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    猪猪侠居然在刷验证码的洞。他在我心目中高大的形象瞬间坍塌成黑洞了。

  16. 2015-01-18 21:20 | 葫芦岛小弱智 ( 路人 | Rank:19 漏洞数:4 | 葫芦岛小弱智)

    我的CenturionCard是否也存在此类漏洞!

  17. 2015-02-04 16:04 | 命运 ( 路人 | Rank:2 漏洞数:1 | 我是来乌云秀智商下限的~~)

    。。。这算个鸟

  18. 2015-02-18 03:02 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:54 | 故乡的原风景.MP3)

    @猪猪侠 猪猪侠居然在刷验证码的洞。他在我心目中高大的形象瞬间坍塌成黑洞了。 这是上错马甲了麽?

  19. 2015-02-27 23:26 | BeenQuiver ( 普通白帽子 | Rank:101 漏洞数:26 | 专注而高效,坚持好的习惯千万不要放弃)

    高危啊这个

  20. 2015-03-04 07:53 | 90Snake ( 普通白帽子 | Rank:109 漏洞数:41 | 最大的漏洞就是人)

    猪猪侠居然在刷验证码的洞。他在我心目中高大的形象瞬间坍塌成黑洞了。 这是上错马甲了麽?

  21. 2015-03-04 10:22 | 静默 ( 路人 | Rank:8 漏洞数:1 | 安全小白)

    猪猪侠居然在刷验证码的洞。他在我心目中高大的形象瞬间坍塌成黑洞了。 这绝对是上错马甲了啊,看看这页没有杀气王子哦。

  22. 2015-04-23 09:22 | 胡小树 ( 实习白帽子 | Rank:60 漏洞数:8 | 我是一颗小小树)

    @猪猪侠 猪哥,我看到亮点了,打码不全啊