一账通某权限设置不当导致无需登录可查看任意一账通用户信息涉及(银行卡号、身份证号码、电话号码、Email等)(二)

admin
admin
admin
102737
文章
87
评论
2015年4月19日03:44:17评论717 views字数 1869阅读6分13秒阅读模式
摘要

2014-07-04: 细节已通知厂商并且等待厂商处理中
2014-07-07: 厂商已经确认,细节仅向厂商公开
2014-07-17: 细节向核心白帽子及相关领域专家公开
2014-07-27: 细节向普通白帽子公开
2014-08-06: 细节向实习白帽子公开
2014-08-16: 细节向公众公开

漏洞概要 关注数(22) 关注此漏洞

缺陷编号: WooYun-2014-66932

漏洞标题: 一账通某权限设置不当导致无需登录可查看任意一账通用户信息涉及(银行卡号、身份证号码、电话号码、Email等)(二)

相关厂商: 平安银行

漏洞作者: loli一账通某权限设置不当导致无需登录可查看任意一账通用户信息涉及(银行卡号、身份证号码、电话号码、Email等)(二)

提交时间: 2014-07-04 10:43

公开时间: 2014-08-16 10:44

漏洞类型: 重要敏感信息泄露

危害等级: 高

自评Rank: 20

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 敏感信息泄漏

1人收藏

漏洞详情

披露状态:

2014-07-04: 细节已通知厂商并且等待厂商处理中
2014-07-07: 厂商已经确认,细节仅向厂商公开
2014-07-17: 细节向核心白帽子及相关领域专家公开
2014-07-27: 细节向普通白帽子公开
2014-08-06: 细节向实习白帽子公开
2014-08-16: 细节向公众公开

简要描述:

平安银行一账通通过一个账户、一套密码管理多个平安账户及平安集团业务(其实就相当于单点登录)

由于某功能设计不当导致可查看任意账户信息(银行卡号、身份证号码、联系地址,电话号码、Email等);

(图多,建议在WIFI环境下浏览)

详细说明:

由于某功能设计不当导致可查看任意账户信息(银行卡号、身份证号码、联系地址,电话号码、Email等);

code 区域 
1.通过登录界面可知道一账通支持:用户名(含深发展个人网银用户名)、身份证、一账通卡号、平安客户号登录(如图)
 
 https://**.**.**.**/pinganone/pa/index.screen

一账通某权限设置不当导致无需登录可查看任意一账通用户信息涉及(银行卡号、身份证号码、电话号码、Email等)(二)

 

code 区域 
2.直接点找回密码,账户名随便输就行,比如我输入admin,进入下一步后继续随便输入,同时进行抓包。(如图)

一账通某权限设置不当导致无需登录可查看任意一账通用户信息涉及(银行卡号、身份证号码、电话号码、Email等)(二)

一账通某权限设置不当导致无需登录可查看任意一账通用户信息涉及(银行卡号、身份证号码、电话号码、Email等)(二)

 

code 区域 
3.查看HTTPS返回的内容,data数据返回了错误信息。但仔细看可以发现其实在[user4resetPwd:]中连该用户信息也一起对客户端返回了。(如图)

一账通某权限设置不当导致无需登录可查看任意一账通用户信息涉及(银行卡号、身份证号码、电话号码、Email等)(二)

一账通某权限设置不当导致无需登录可查看任意一账通用户信息涉及(银行卡号、身份证号码、电话号码、Email等)(二)

一账通某权限设置不当导致无需登录可查看任意一账通用户信息涉及(银行卡号、身份证号码、电话号码、Email等)(二)

一账通某权限设置不当导致无需登录可查看任意一账通用户信息涉及(银行卡号、身份证号码、电话号码、Email等)(二)

漏洞证明:

code 区域 
如何知道是否有该账户呢?其实第一步就可以知道了。可以进行抓包然后倒入社工库用户名,至于验证码嘛,这里只是设置了过期时间,可以进行多次提交使用。过期后网页上重新刷新个就行。

一账通某权限设置不当导致无需登录可查看任意一账通用户信息涉及(银行卡号、身份证号码、电话号码、Email等)(二)

一账通某权限设置不当导致无需登录可查看任意一账通用户信息涉及(银行卡号、身份证号码、电话号码、Email等)(二)

 

code 区域 
由于一账通业务线很长,所以。。。其实可以通过其他地方注册(不需要手机,邮件等验证)比如:通过平安证券进行注册,该注册账户也是可以通过一账通进行登录。。
 更便捷的是,注册查询用户名的地方连验证码都省了。(通过注册用户名发现,用户基数应该挺大)
 
 https://**.**.**.**/huiyuanzhuanqu/yizhangtongzhuce.shtml

一账通某权限设置不当导致无需登录可查看任意一账通用户信息涉及(银行卡号、身份证号码、电话号码、Email等)(二)

一账通某权限设置不当导致无需登录可查看任意一账通用户信息涉及(银行卡号、身份证号码、电话号码、Email等)(二)

修复方案:

本人并未进行大规模的撞库,也未保存测试数据,请误查水表。

------------------------------------------------

建议:

1.验证数据时只对客户端返回错误信息;

2.既然是单点登录,注册是否应该需要统一下;

3.验证码设置一次性过期;

版权声明:转载请注明来源 loli@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-07-07 08:50

厂商回复:

CNVD确认所述风险,已经转由CNCERT直接通报给平安银行。并与wooyun-2014-一并处置。

最新状态:

暂无

 

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

 

登陆后才能进行评分

评价

  1. 2014-07-02 10:52 | 猪猪侠 一账通某权限设置不当导致无需登录可查看任意一账通用户信息涉及(银行卡号、身份证号码、电话号码、Email等)(二) ( 核心白帽子 | Rank:5372 漏洞数:415 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    1

    标题够长才够牛逼~

  2. 2014-07-02 10:54 | loli 一账通某权限设置不当导致无需登录可查看任意一账通用户信息涉及(银行卡号、身份证号码、电话号码、Email等)(二) ( 普通白帽子 | Rank:649 漏洞数:59 | 每个男人心中都住着一个叫小红的88号技师。)

    0

    @猪猪侠 标题长才能吸引 @疯狗 @xsser 来审核嘛

  3. 2014-07-02 10:55 | zzR 一账通某权限设置不当导致无需登录可查看任意一账通用户信息涉及(银行卡号、身份证号码、电话号码、Email等)(二) ( 核心白帽子 | Rank:1408 漏洞数:127 | 东方红**联盟欢迎你-0-)

    0

    (图多,建议在WIFI环境下浏览)良心洞主

  4. 2014-07-02 12:49 | M0nster ( 实习白帽子 | Rank:55 漏洞数:18 | 允许我国的艺术家先富起来)

    0

    洞主你不知道我是萝莉控吗

  5. 2014-07-02 15:10 | zeracker 一账通某权限设置不当导致无需登录可查看任意一账通用户信息涉及(银行卡号、身份证号码、电话号码、Email等)(二) ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)

    0

    真是奇葩中的奇葩!

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2015年4月19日03:44:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一账通某权限设置不当导致无需登录可查看任意一账通用户信息涉及(银行卡号、身份证号码、电话号码、Email等)(二)https://cn-sec.com/archives/16516.html

发表评论

匿名网友 填写信息