仿冒电信运营商掌上营业厅的大规模钓鱼事件(大量用户银行卡中招CVV2与密码泄露)

admin

144121
文章

118
评论

2015年6月17日03:27:55评论393 views字数 247阅读0分49秒阅读模式

摘要

2014-09-17：细节已通知厂商并且等待厂商处理中
2014-09-17：厂商已查看当前漏洞内容,细节仅向厂商公开
2014-09-20：厂商已经主动忽略漏洞，细节向公众公开

漏洞概要关注数(48) 关注此漏洞

缺陷编号： WooYun-2014-76180

漏洞标题：仿冒电信运营商掌上营业厅的大规模钓鱼事件(大量用户银行卡中招CVV2与密码泄露)

漏洞作者：路人甲

提交时间： 2014-09-17 23:42

公开时间： 2014-09-20 13:47

漏洞类型：恶意信息传播

危害等级：高

自评Rank： 20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：钓鱼欺诈

6人收藏

漏洞详情

披露状态：

简要描述：

大规模钓鱼欺诈！！

详细说明：

http://**.**.**.**/s?wd=%E8%AF%B7%E5%AE%8C%E5%96%84%E6%82%A8%E7%9A%84%E8%B4%A6%E6%88%B7%E4%BF%A1%E6%81%AF%EF%BC%9A%E6%9F%A5%E6%94%B6%E7%8E%B0%E9%87%91

http://**.**.**.**/s?wd=%E6%82%A8%E5%8F%AF%E7%94%A8%E7%A7%AF%E5%88%86%E5%B7%B2%E5%85%91%E6%8D%A2%E7%8E%B0%E9%87%91%EF%BC%9A368.00%E5%85%83

http://**.**.**.**/s?wd=%E6%82%A8%E5%8F%AF%E7%94%A8%E7%A7%AF%E5%88%86%E5%B7%B2%E5%85%91%E6%8D%A2%E7%8E%B0%E9%87%91%3A1065.00%E5%85%83

打开网址就能看到钓鱼页面，填写信息就会被记录

访问http://钓鱼网址/admin/login.html

可进入后台登陆页面

用户名和密码用'or'='or'可以直接登陆

漏洞证明：

http://**.**.**.**/admin/login.html

用户名和密码用'or'='or'可以直接登陆

修复方案：

加强用户的安全意识

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-09-20 13:47

厂商回复：

不作为安全漏洞确认，已经转由CNCERT向中国电信集团公司通报。

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-09-15 23:53 | zeracker ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)

0

大规模钓鱼欺诈！！

1# 回复此人
2014-09-15 23:58 | YY-2012 ( 核心白帽子 | Rank:3861 漏洞数:736 | 意淫，是《红楼梦》原创的词汇，但后来演变...)

1

大规模钓鱼欺诈！！以报警了

2# 回复此人
2014-09-16 00:04 | xsser ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)

2

跪了

3# 回复此人
2014-09-16 08:52 | 爱Gail ( 普通白帽子 | Rank:237 漏洞数:38 | 爱漏洞、爱编程、爱旅游、爱Gail)

0

等待细节

4# 回复此人
2014-09-16 09:58 | 浩天 ( 普通白帽子 | Rank:925 漏洞数:80 | 哈！躁起来！)

0

尼玛

5# 回复此人
2014-09-16 13:33 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)

0

记者同志，我在这里~

6# 回复此人
2014-09-16 13:44 | JJFly ( 路人 | Rank:2 漏洞数:1 | <a href="www.yidianjiujijifly.com">www.y...)

0

记者同志，这里这里~你的CVV2

7# 回复此人
2014-09-16 15:05 | webshell ( 实习白帽子 | Rank:62 漏洞数:19 | hello word.)

0

前排留名~~~

8# 回复此人
2014-09-16 15:39 | kav ( 路人 | Rank:16 漏洞数:8 )

0

卖瓜子咯~

9# 回复此人
2014-09-16 16:07 | scanf ( 核心白帽子 | Rank:1694 漏洞数:237 | 。)

0

报警了，摄像大哥我在这里，

10# 回复此人
2014-09-16 16:26 | 好人 ( 路人 | Rank:13 漏洞数:6 | 多少人曾爱慕你年轻的容颜)

0

我上电视了，

11# 回复此人
2014-09-16 17:23 | 小歪 ( 路人 | Rank:30 漏洞数:4 | 一直以蜗牛的速度在前行，但从不停歇。)

2

细节在这里 http://mp.weixin.qq.com/s?__biz=MjM5Njc3NjM4MA==&mid=200880551&idx=1&sn=241717bcea023ef3021154c084ece5b7&scene=1&from=groupmessage&isappinstalled=0#rd

12# 回复此人
2014-09-20 00:26 | Alen ( 实习白帽子 | Rank:95 漏洞数:22 | 精华漏洞数:10 | WooYun认证√ Duang)

0

坐等细节

13# 回复此人
2014-09-20 01:29 | 小火苗 ( 路人 | Rank:6 漏洞数:1 | 我是一只小火苗呀，春风吹又生呀...)

1

记者同志看这里！！！

14# 回复此人
2014-09-20 03:09 | q601333824 ( 普通白帽子 | Rank:277 漏洞数:58 | 出自《狐妖小红娘》---自古人妖生死恋，千...)

1

记者同志看这里！！！

15# 回复此人
2014-09-21 00:41 | rqndx ( 路人 | Rank:9 漏洞数:3 | 易)

0

头条见！

16# 回复此人
2014-09-21 17:43 | Annabelle ( 实习白帽子 | Rank:56 漏洞数:17 | .)

1

麻麻，我上电视了！！～～

17# 回复此人

漏洞概要 关注数(48) 关注此漏洞

缺陷编号： WooYun-2014-76180

漏洞标题： 仿冒电信运营商掌上营业厅的大规模钓鱼事件(大量用户银行卡中招CVV2与密码泄露)

相关厂商： 中国电信

漏洞作者： 路人甲