神刀安全网

漏洞標題: 山东大学校园卡中心某接口设计不当可穷举密码(威胁师生银行卡资金安全)(大陆地区)

漏洞詳情

披露狀態:

2016-01-30: 細節已通知廠商並且等待廠商處理中
2016-01-30: 廠商已經確認,細節僅向廠商公開
2016-02-09: 細節向核心白帽駭客及相關領域專家公開
2016-02-19: 細節向普通白帽駭客公開
2016-02-29: 細節向實習白帽駭客公開
2016-03-14: 細節向公眾公開

大概描述:

惊!山东某高校众多教授银行卡内资金无故丢失,经查竟然是被充成了话费
—————————————————————————————
(—–涉及银行卡资金安全求上首页(づ ̄ 3 ̄)づ——)
—————————————————————————————

詳細說明:

在校园卡web端转了一圈,未见到什么明显漏洞,转向安卓

code 区域
问题app
掌上校园

漏洞標題:  山东大学校园卡中心某接口设计不当可穷举密码(威胁师生银行卡资金安全)(大陆地区)

可穷举用户名无验证码

登录时:

code 区域
POST /Api/Account/SignInAndGetUserPlus HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Dalvik/1.6.0 (Linux; U; Android 4.2.2; HM NOTE 1TD MIUI/JHECNBL41.0)
Host: card.sdu.edu.cn:8070
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 129

phone=&clientMark=HM NOTE 1TD&cardimsi=&signType=SynCard&account=2****&simCode=null&password=A8FAA472BBF9D16A&clientType=Android

漏洞標題:  山东大学校园卡中心某接口设计不当可穷举密码(威胁师生银行卡资金安全)(大陆地区)

account即为校园卡号可穷举

其中passwd加密,逆向app可以得到加密方式

简单测试:在app中输入密码654321对校园卡账号穷举

一共得到37个教师存在密码为654321的弱口令

漏洞標題:  山东大学校园卡中心某接口设计不当可穷举密码(威胁师生银行卡资金安全)(大陆地区)

漏洞標題:  山东大学校园卡中心某接口设计不当可穷举密码(威胁师生银行卡资金安全)(大陆地区)

由于在校师生全部要求绑定了银行卡

所以

漏洞標題:  山东大学校园卡中心某接口设计不当可穷举密码(威胁师生银行卡资金安全)(大陆地区)

有了支付密码就可以用老师的银行卡冲话费了

悬崖勒马,及时收手为好

漏洞驗證:

漏洞標題:  山东大学校园卡中心某接口设计不当可穷举密码(威胁师生银行卡资金安全)(大陆地区)

漏洞標題:  山东大学校园卡中心某接口设计不当可穷举密码(威胁师生银行卡资金安全)(大陆地区)

漏洞標題:  山东大学校园卡中心某接口设计不当可穷举密码(威胁师生银行卡资金安全)(大陆地区)

修復方案:

code 区域
此次测试过程未使用各位老师校园卡做什么偷鸡摸狗的事情,谢绝查水表

修复的话 还是加上验证码吧 用户体验虽重要 用户安全也不可小视

版權聲明:轉載請註明來源 路人甲@烏雲

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞標題: 山东大学校园卡中心某接口设计不当可穷举密码(威胁师生银行卡资金安全)(大陆地区)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮