平安一账通无需登录可查看任意一账通用户信息涉及（银行卡号、身份证号码、电话号码、Email等）（三）

2015年4月23日09:08:04评论354 views字数 254阅读0分50秒阅读模式

摘要

2014-07-08：细节已通知厂商并且等待厂商处理中
2014-07-12：厂商已经确认，细节仅向厂商公开
2014-07-22：细节向核心白帽子及相关领域专家公开
2014-08-01：细节向普通白帽子公开
2014-08-11：细节向实习白帽子公开
2014-08-22：细节向公众公开

漏洞概要关注数(23) 关注此漏洞

缺陷编号： WooYun-2014-67801

漏洞标题：平安一账通无需登录可查看任意一账通用户信息涉及（银行卡号、身份证号码、电话号码、Email等）（三）

漏洞作者： loli

提交时间： 2014-07-08 10:50

公开时间： 2014-08-22 10:52

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank： 15

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：认证设计不合理

1人收藏

漏洞详情

披露状态：

简要描述：

再来一发。

详细说明：

code 区域

（一）测试环境：
 1.平安口袋银行app V2.1.0 for android
 2.客户端samsung note2
 3.WIFI环境抓包

code 区域

（二）测试过程 1.安装平安口袋银行APP后，登陆时选择[忘记密码]，用户名还是一样可以通过撞库的方式，验证码可以多次使用。我这里测试随便填了个用户名[pingan888] 2.用户资料随便填就行了。 3.提交后，burpsuite返回信息如下：

漏洞证明：

修复方案：

app权限验证神马的最容易被忽视。

修复见：

WooYun: 一账通某权限设置不当导致无需登录可查看任意一账通用户信息涉及（银行卡号、身份证号码、电话号码、Email等）（二）

版权声明：转载请注明来源 loli@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：5

确认时间：2014-07-12 13:36

厂商回复：

已制定修复方案及修复计划

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-07-09 10:47 | 乌云白帽子 ( 路人 | Rank:21 漏洞数:8 | 路人甲)

1

不敢评论这个洞

1# 回复此人
2014-07-09 14:59 | Ares ( 路人 | Rank:29 漏洞数:8 | 来自幼儿园大班)

0

又来一波。。

2# 回复此人
2014-07-12 13:39 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

0

出来啦？

3# 回复此人
2014-07-12 22:04 | mango ( 核心白帽子 | Rank:2165 漏洞数:312 | 解决问题的第一步，是要承认问题的存在。)

0

CCTV要来么？？

4# 回复此人

漏洞概要 关注数(23) 关注此漏洞

缺陷编号： WooYun-2014-67801

漏洞标题： 平安一账通无需登录可查看任意一账通用户信息涉及（银行卡号、身份证号码、电话号码、Email等）（三）

相关厂商： 中国平安保险（集团）股份有限公司