中国工商银行账户可批量猜测导致信息泄露(无法转账)

漏洞详情

披露状态:

2014-03-09: 细节已通知厂商并且等待厂商处理中
2014-03-14: 厂商已经确认,细节仅向厂商公开
2014-03-24: 细节向核心白帽子及相关领域专家公开
2014-04-03: 细节向普通白帽子公开
2014-04-13: 细节向实习白帽子公开
2014-04-23: 细节向公众公开

简要描述:

中国工商银行账户批量猜测,导致信息泄露,工商银行登录方式可以自己设置用户名,如果让不法分子利用,则可能出现暴力破解登录,从而造成账户信息的泄露。

详细说明:

1.开通正常网银,登录,点击:客户服务-个性化定制-个性化定制:然后抓包验证第二种登录方式中的登录用户名的合法性:如图:

0.png



这里有两种情况:

一:用户名可以通过,这就证明这个名字还没有被使用,没有利用价值。

二:用户名提示叉号,则证明这个名字已经被使用了,可以利用一下下,当然凭运气了。

这里我使用了好多名字进行验证,像:史珍香(shizhenxiang),王伟(wangwei)等常用名字,然后将用户名作为密码登录:如图提示:

.png

账号冻结,我可是仅仅尝试了一次,就是这个信息,证明有人登陆次数过多,才冻结的。之后利用少于6个字符的尝试猜解出现如图所示:

4.png



大粪(dafen),这种短的名称给了贵宾用户,其实这是安全的,一会会说。

2.开始抓包,跑字典,猜解已经使用过的用户名:

一:先使用httpwatch:如图:

0.png

使用:nidaye 抓包截图:

6.png

注意返回信息。再用:wodayede抓包截图:

7.png

再次注意返回信息。都明白。。。。

3.利用burp抓包,批量测试:

如图:

23.png

54.png

发送到攻击模块

24.png

把:shuoshenme作为变量,执行字典,这里测试举了几个极端例子,如图:

234.png

看返回长度就清楚,像wangyi、wangwei,这样的名字应该已经被注册了,再看看burp的返回值:注意两张图的对比:

123.png

565.png

返回值不同。

4.只后利用猜解到的账号,将账号作为密码,到前台登录页面进行验证,这里要说明一点,先看图:

2.png

这里是登陆密码的修改,“必须为数字和字母的组合,且要长于六位”,所以在跑字典猜解用户名的时候就要使用字母和数字作为用户名,因为你要使用用户名作为登录密码,而密码是有限制的。在说说上面那种少于六位的用户名,其实这种用户名是安全的,因为密码的长度导致了,这种短的用户名不可能作为密码登录。

5.登录成功后,就可以查看你要的信息了,至于转账,似乎没有可能,因为需要U盾。





漏洞证明:

修复方案:

1.严格账户控制体系。

2.登录密码不能和用户名相同。

版权声明:转载请注明来源 小r00to1@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2014-03-14 21:29

厂商回复:

CNVD确认所述情况,已经转由CNCERT直接转报给网站管理单位信息化主管部门,根据其反馈,已经在第一时间制定修复方案。

最新状态:

暂无


漏洞评价: