乌云于 2014 年 02 月 17 日爆出支付宝登陆漏洞,漏洞详情!

2014-02-17 22:40:27 17 6987

“无需密码可随意登录淘宝、支付宝账号。”“淘宝认证缺陷导致可任意登录淘宝、支付宝账号。”昨天14时左右,来自国内互联网安全问题发布平台乌云漏洞报告平台的这样两条报告,让许多人立马停下手头的事儿,查看自己的淘宝账号是否安好。

漏洞详情?威胁究竟如何?
2014-02-17下午14:20 Wooyun平台上爆出这个漏洞,截止到16:00已经修复,当然大家不知道这个漏洞也许存在并被利用很久了,前面说过了,只是浮出水面的一角。
14:25分的时候我收到一封来自这里姑且称之为“L”的邮件,提供给了我漏洞详情,称漏洞快被修复了让我拿来研究一下,看完之后真是娇躯一震


邮件内容只有一句话:site:http://login.taobao.com inurl:login_by_safe, about wy. L
但是就是这样一句话,想必就是白/黑帽子梦寐以求的东西,现在漏洞已经Fix,当然这篇文章全文都是我编的,不用太在意。

后面就好办了,于是我们进行的简单的GoogleHack:
https://login.taobao.com/member/login_by_safe.htm?sub=&guf=&c_is_scure=&from=tbTop&type=1&style=default&minipara=&css_style=&tpl_redirect_url=&popid=&callback=jsonp97&is_ignore=&trust_alipay=&full_redirect=&user_num_id=*********&need_sign=&from_encoding=%810%851_duplite_str=&sign=&ll=
上面就是结果页的URL,写到这里我有点儿编不下去了,便把user_num_id的值打了星星符号,这个漏洞是这样的,搜索出来的结果我们点击进去之后会自动进入对方的淘宝账户,再从淘宝可以跳到支付宝,当然不需要登录。

于是后面我又把这个URL进行了“分解”:
https://login.taobao.com/member/login_by_safe.htm?

sub=

&guf=

&c_is_scure=

&from=tbTop

&type=1

&style=default

&minipara=

&css_style=

&tpl_redirect_url=

&popid=

&callback=jsonp97

&is_ignore=

&trust_alipay=

&full_redirect=

&user_num_id=*********

&need_sign=

&from_encoding=%810%851_duplite_str=

&sign=&ll=
后来又对比了几个,发现其中不同的仅是callback与user_num_id,callback不用理睬,也就是我们可以通过遍历user_num_id便能登陆任意账户。


其实一旦支付宝账户像这样的方式泄露,用户的物理位置、手机号、姓名以及很多隐私都会大量泄漏,哎,这事又怪不得用户。不过阿里这次能给国内网民提个醒,注意注意安全!当然有好多朋友提出这样的疑问:“他又不知道我的转账密码,所以还是没问题啊,一点儿表示不担心”。像遇到这种人只能笑而不语,其实支付宝是有个小额免密的功能的,那么大数据用户面前来几百万个小额免密的用户,黑产小伙们就笑了。
类别 新闻资讯

关于作者

Calm49篇文章1433篇回复

Calm
17

评论17次

要评论?请先  登录  或  注册