卡农论坛

标题: 交行业务流程审核逻辑不严导致可枚举任意信用卡cvv码 [打印本页]

作者: ?_Zhang♀Tao_? 时间: 2015-2-7 03:27
标题: 交行业务流程审核逻辑不严导致可枚举任意信用卡cvv码
漏洞概要关注数(67) 关注此漏洞 缺陷编号： WooYun-2014-86215 漏洞标题：交行业务流程审核逻辑不严导致可枚举任意信用卡cvv码 [img][/img] 相关厂商：交行 漏洞作者： Taki提交时间： 2014-12-09 11:08公开时间： 2015-01-23 11:10漏洞类型：设计缺陷/逻辑错误危害等级：中自评Rank： 5漏洞状态：已交由第三方厂商(cncert国家互联网应急中心)处理 漏洞来源： Tags标签：设计缺陷/边界绕过,安全风险 漏洞详情披露状态：

2014-12-09：细节已通知厂商并且等待厂商处理中

2014-12-14：厂商已经确认，细节仅向厂商公开

2014-12-24：细节向核心白帽子及相关领域专家公开

2015-01-03：细节向普通白帽子公开

2015-01-13：细节向实习白帽子公开

2015-01-23：细节向公众公开

简要描述： 可通过在线银行枚举用户信用卡校验码(CVV)，而交行的验证码又很容易被程序识别详细说明： 通过注册网银可以刺探用户是否开通网银（如果用户没注册，可以用于暴力破解查询密码）如果开通，可以通过重置密码服务的第2步要求输入信用卡有效期，校验码(cvv),身份证，验证码界面，输入任意信息后确认，在下—步的业务处理逻辑中由于会优先判断用户cvv码是否正确，导致即使其他信息错误，也会先提示cvv码错误。由于已知cvv码为3为数字，且用户不得更改，所以此业务逻辑可以用来刺探用户cvv信息。同时信用卡有效期为年月且—般为3-5年，所以在填写正确cvv后，同理也可枚举信用卡有效期。

重置密码第2步要求输入信用卡有效期，校验码(cvv),身份证，验证码，任意输入信息后确认，在下—步的业务处理逻辑中，会优先判断用户cvv码，由于已知cvv码为3为数字，且用户不得更改，所以此业务逻辑可以用来刺探用户cvv信息。同时信用卡有效期为年月且—般为3-5年，所以在填写正确cvv后，同理也可枚举信用卡有效期。

交行的验证码又很容易被程序识别：

证明：

修复方案： 可以优先判断身份证信息，然后判断有效期，最后判断cvv吗。 版权声明：转载请注明来源 Taki@乌云

漏洞回应厂商回应： 危害等级：高漏洞Rank：14 确认时间：2014-12-14 00:28厂商回复： CNVD确认并复现所述情况，已经转由CNCERT下发给上海分中心，由其后续协调网站管理单位处置最新状态： 暂无

漏洞评价： 对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

作者: aimcin 时间: 2015-4-11 09:58
细节向核心白帽子及相关领域专家公开???

作者: phoenixsz229 时间: 2015-4-11 10:17

作者: 北方二人 时间: 2015-4-11 14:52
看不懂什么意思

欢迎光临卡农论坛 (https://www.51kanong.com/)