华夏基金用户账号安全隐患可获取到基金交易等敏感信息

漏洞详情

披露状态:

2014-03-07: 细节已通知厂商并且等待厂商处理中
2014-03-12: 厂商已经确认,细节仅向厂商公开
2014-03-22: 细节向核心白帽子及相关领域专家公开
2014-04-01: 细节向普通白帽子公开
2014-04-11: 细节向实习白帽子公开
2014-04-21: 细节向公众公开

简要描述:

通过一些手段,在知道身份证号码情况下,获取到基金交易等敏感信息。比较不走运的是似乎这个bug没有波及到微信。。。。

详细说明:

通过ios版本华夏基金管家--账户查询--忘记密码功能

通过身份证号、“我不知道基金帐号”以及验证码,

利用穷举基金名称(大部分人都有货币基金吧)、销售机构(直销的、主要银行)即能重置密码

1.穷举的难度并不难,因为往往一个人购买多种基金、在多个销售机构购买,因而极易引起碰撞

2.验证码只需要在第一日输入成功即可永久使用,此时可以通过重放,快速穷举



通过流量分析,能好简单地弄成攻击脚本逐个身份证号去穷举

漏洞证明:

 14-3-7 下午12 20 23.png



这个是入口



 14-3-7 下午12 32 28.png



这个是附加码错误的标志

 14-3-7 下午12 32 34.png



这个是附加码正确的标志

 14-3-7 下午12 33 24.png



附加码重复正确输入仍然有效,注意最顶的时间差别

 14-3-7 下午12 33 46.png



密码重置成功

 14-3-7 下午12 34 01.png



看到了吧。。。。



 14-3-7 下午12 34 07.png





交易信息

修复方案:

1.修正验证码漏洞,但似乎验证码被破不难

2.不要那么容易就被别人穷举掉

3.重视个人隐私,请贵厂使用ssl加密

送份小礼物可以吗





另外。。。乌云提交漏洞页面切换的时候有两个list点不到,需要刷新后才能用。。。麻烦na

版权声明:转载请注明来源 fbi007130@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2014-03-12 15:04

厂商回复:

CNVD未直接复现,已经转由CNCERT向证券行业信息化主管部门转报,由其后续协调软件管理厂商处置。

最新状态:

暂无


漏洞评价: