漏洞详情

披露状态:

2014-02-24: 细节已通知厂商并且等待厂商处理中
2014-02-26: 厂商已经确认,细节仅向厂商公开
2014-03-08: 细节向核心白帽子及相关领域专家公开
2014-03-18: 细节向普通白帽子公开
2014-03-28: 细节向实习白帽子公开
2014-04-10: 细节向公众公开

简要描述:

研究了一下手机丢失后,财付通的密码安全性,发现果然有问题。仅通过短信校验码就可以找回财付通的登录和支付密码,进而盗刷快捷卡。

详细说明:

1、用户的手机一般都装有手机QQ,手机被盗之后,先获取QQ号码

2、在PC端通过https://aq.qq.com/cn2/findpsw/pc/pc_find_pwd_input_account,输入QQ号码,再通过手机短信找回QQ登录密码

3、在PC端登录QQ,然后打开www.tenpay.com,快速登录到财付通

4、点击账户资料>找回支付密码,只通过手机校验码即可找回支付密码,操作如下:

01.JPG



02.JPG



03.JPG



5、去易迅等网站购物,选择财付通支付方式,一个支付密码就可以盗刷快捷卡

04.JPG

漏洞证明:

手机号码丢失,两条短信就可以找回财付通的登录和支付密码,进而盗刷快捷卡金额

修复方案:

建议增加找回登录/支付密码难得,或者增加身份证号码或快捷卡校验方式。特别是绑定快捷卡的情况,建议使用"手机校验码+快捷卡信息"方式找回支付密码。

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2014-02-26 09:03

厂商回复:

非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。

最新状态:

暂无


漏洞评价: