交行业务流程审核逻辑不严导致可枚举任意信用卡cvv码

?_Zhang♀Tao_? · 发表于 2015-2-7 03:27

漏洞概要 关注数(67) 关注此漏洞 缺陷编号： WooYun-2014-86215  漏洞标题：交行业务流程审核逻辑不严导致可枚举任意信用卡cvv码 [img][/img] 相关厂商： 交行 漏洞作者： Taki提交时间： 2014-12-09 11:08公开时间： 2015-01-23 11:10漏洞类型：设计缺陷/逻辑错误危害等级：中自评Rank： 5漏洞状态：已交由第三方厂商(cncert国家互联网应急中心)处理 漏洞来源： Tags标签： 设计缺陷/边界绕过,安全风险 漏洞详情披露状态： 
2014-12-09：细节已通知厂商并且等待厂商处理中 
2014-12-14：厂商已经确认，细节仅向厂商公开 
2014-12-24：细节向核心白帽子及相关领域专家公开 
2015-01-03：细节向普通白帽子公开 
2015-01-13：细节向实习白帽子公开 
2015-01-23：细节向公众公开 
简要描述： 可通过在线银行枚举用户信用卡校验码(CVV)，而交行的验证码又很容易被程序识别详细说明： 通过注册网银可以刺探用户是否开通网银（如果用户没注册，可以用于暴力破解查询密码）如果开通，可以通过重置密码服务的第2步要求输入信用卡有效期，校验码(cvv),身份证，验证码界面，输入任意信息后确认，在下—步的业务处理逻辑中由于会优先判断用户cvv码是否正确，导致即使其他信息错误，也会先提示cvv码错误。由于已知cvv码为3为数字，且用户不得更改，所以此业务逻辑可以用来刺探用户cvv信息。同时信用卡有效期为年月且—般为3-5年，所以在填写正确cvv后，同理也可枚举信用卡有效期。 
 
 
重置密码第2步要求输入信用卡有效期，校验码(cvv),身份证，验证码，任意输入信息后确认，在下—步的业务处理逻辑中，会优先判断用户cvv码，由于已知cvv码为3为数字，且用户不得更改，所以此业务逻辑可以用来刺探用户cvv信息。同时信用卡有效期为年月且—般为3-5年，所以在填写正确cvv后，同理也可枚举信用卡有效期。 
 
 
 
 
 
 
交行的验证码又很容易被程序识别： 
 
 
 
 
 
 
证明： 
 
 
 
 
 
修复方案： 可以优先判断身份证信息，然后判断有效期，最后判断cvv吗。 版权声明：转载请注明来源 Taki@乌云 <hr class="l" />漏洞回应厂商回应： 危害等级：高漏洞Rank：14 确认时间：2014-12-14 00:28厂商回复： CNVD确认并复现所述情况，已经转由CNCERT下发给上海分中心，由其后续协调网站管理单位处置最新状态： 暂无<hr class="l" />漏洞评价： 对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

aimcin · 发表于 2015-4-11 09:58

细节向核心白帽子及相关领域专家公开???

phoenixsz229 · 发表于 2015-4-11 10:17

北方二人 · 发表于 2015-4-11 14:52

看不懂什么意思