卡农论坛

标题: 乌云安全平台曝交行安全漏洞 [打印本页]

作者: mhikak 时间: 2015-1-23 16:29
标题: 乌云安全平台曝交行安全漏洞
漏洞概要关注数(64) 关注此漏洞

缺陷编号：    WooYun-2014-86215

漏洞标题：    交行业务流程审核逻辑不严导致可枚举任意信用卡cvv码

相关厂商：    交行

漏洞作者：    Taki

提交时间：    2014-12-09 11:08

公开时间：    2015-01-23 11:10

漏洞类型：    设计缺陷/逻辑错误

危害等级：    中

自评Rank：    5

漏洞状态：    已交由第三方厂商(cncert国家互联网应急中心)处理

漏洞来源：

Tags标签：    设计缺陷/边界绕过,安全风险

简要描述：

可通过在线银行枚举用户信用卡校验码(CVV)，而交行的验证码又很容易被程序识别

详细说明：

通过注册网银可以刺探用户是否开通网银（如果用户没注册，可以用于暴力破解查询密码）如果开通，可以通过重置密码服务的第2步要求输入信用卡有效期，校验码(cvv),身份证，验证码界面，输入任意信息后确认，在下—步的业务处理逻辑中由于会优先判断用户cvv码是否正确，导致即使其他信息错误，也会先提示cvv码错误。由于已知cvv码为3为数字，且用户不得更改，所以此业务逻辑可以用来刺探用户cvv信息。同时信用卡有效期为年月且—般为3-5年，所以在填写正确cvv后，同理也可枚举信用卡有效

各位卡油觉得这个问题严重吗？

作者: yfrweu 时间: 2015-1-23 17:18
哇，好吓人

作者: lee007lee 时间: 2015-1-23 19:57
相当严重呀，

作者: 钟注啶雄 时间: 2015-1-23 20:51
好恐怖，网络安全堪忧

欢迎光临卡农论坛 (https://www.51kanong.com/)