2014年2月17日星期一

墙外楼: 知乎: 乌云于 2014 年 02 月 17 日爆出支付宝登陆漏洞,该漏洞会对用户余额宝产生怎么样的影响或者是危害?

墙外楼
网络热门话题追踪 
Save on Cookie Cutters.

100 shapes on sale, up to 40%, at Sur La Table!
From our sponsors
知乎: 乌云于 2014 年 02 月 17 日爆出支付宝登陆漏洞,该漏洞会对用户余额宝产生怎么样的影响或者是危害?
Feb 17th 2014, 14:03, by 墙外仙

淘宝认证缺陷可登录任意淘宝账号及支付宝(我的余额宝撒)

1

Evi1m0,来自知道创宇,邪红色信息安全组织创始人

今天(2014年2月17日)下午,互联网安全警报被Wooyun平台上一则名为《淘宝认证缺陷可登录任意淘宝账号及支付宝(我的余额宝撒)》的漏洞一炮打响,一时间各BBS、微博、微信、QQ群展开火热的讨论,很多人表示关心自己支付宝是否安全?有的白/黑帽子则更是关心漏洞的细节以及漏洞利用情况。

首先回答大家最关心的问题,网络支付还安全吗?

当然今天所看到的只是某个漏洞提前曝光在了大家眼前,至于支付是否安全,我觉得这得需要服务提供商(公司)和用户共同来铸造,单方面安全总是不行的。密码全部是弱口令、123456、iloveyou123、qq123123的账户,你怎么样守护他的安全?系统打好补丁,别上小网站下载乱七八糟的应用,先保证自己电脑以及安全意识没有那么低下,剩下的安全就交给服务提供商来做吧!好在近几年国内厂商安全意识有所提高。

这个问题只是网络安全漏洞世界中的冰山一角,为什么大家会那么关心这个问题,好多朋友甚至私信、短信我问这个问题?

其实说起来也很简单,因为这个问题威胁到他的个人财产了。国内网民安全意识普遍低下的今天,你不拿出点能够威胁到他们金钱利益的东西他们是不会害怕的,比如他的论坛密码泄露?通知他说:"你某论坛密码泄露了,修改一下吧"他会很无所谓的告诉你:"泄露就泄露吧,反正没多大事,实在不行重新注册一个"

爱财之心,人皆有之。这个漏洞引发了不少人的恐慌,好在我支付宝没绑定银行卡,余额宝更是没有钱,索性好好的分析一下这个漏洞的详细情况。

漏洞详情?威胁究竟如何?

2014-02-17下午14:20 Wooyun平台上爆出这个漏洞,截止到16:00已经修复,当然大家不知道这个漏洞也许存在并被利用很久了,前面说过了,只是浮出水面的一角。

14:25分的时候我收到一封来自这里姑且称之为"L"的邮件,提供给了我漏洞详情,称漏洞快被修复了让我拿来研究一下,看完之后真是娇躯一震。

2

邮件内容只有一句话:site:http://login.taobao.com inurl:login_by_safe, about wy. L

但是就是这样一句话,想必就是白/黑帽子梦寐以求的东西,现在漏洞已经Fix,当然这篇文章全文都是我编的,不用太在意。

后面就好办了,于是我们进行的简单的GoogleHack:

3

https://login.taobao.com/member/login_by_safe.htm?sub=&guf=&c_is_scure=&from=tbTop&type=1&style=default&minipara=&css_style=&tpl_redirect_url=&popid=&callback=jsonp97&is_ignore=&trust_alipay=&full_redirect=&user_num_id=*********&need_sign=&from_encoding=%810%851_duplite_str=&sign=&ll=

4

上面就是结果页的URL,写到这里我有点儿编不下去了,便把user_num_id的值打了星星符号,这个漏洞是这样的,搜索出来的结果我们点击进去之后会自动进入对方的淘宝账户,再从淘宝可以跳到支付宝,当然不需要登录。

于是后面我又把这个URL进行了"分解":

https://login.taobao.com/member/login_by_safe.htm?

sub=
&guf=
&c_is_scure=
&from=tbTop
&type=1
&style=default
&minipara=
&css_style=
&tpl_redirect_url=
&popid=
&callback=jsonp97
&is_ignore=
&trust_alipay=
&full_redirect=
&user_num_id=*********
&need_sign=
&from_encoding=%810%851_duplite_str=
&sign=&ll=

后来又对比了几个,发现其中不同的仅是callback与user_num_id,callback不用理睬,也就是我们可以通过遍历user_num_id便能登陆任意账户。

5

其实一旦支付宝账户像这样的方式泄露,用户的物理位置、手机号、姓名以及很多隐私都会大量泄漏,哎,这事又怪不得用户。不过阿里这次能给国内网民提个醒,注意注意安全!当然有好多朋友提出这样的疑问:"他又不知道我的转账密码,所以还是没问题啊,一点儿表示不担心"。像遇到这种人只能笑而不语,其实支付宝是有个小额免密的功能的,那么大数据用户面前来几百万个小额免密的用户,黑产小伙们就笑了。

哦,对了,不知道黑产小哥们玩了多久这个漏洞了。

类似的漏洞有没有?

下午redrain(信息安全爱好者)和我聊天中说想起去年2月份左右支付宝出现过类似越权限的漏洞,但没有今天如此严重,还好留下两张历史图片:

6

7

其实这种漏洞在某些地方还是蛮多的,如果你认为所有漏洞都会披露到互联网水面上,那就太天真了。

支付安全中另外一种很常见的攻击手法就是钓鱼了,这种钓鱼普遍发生在高档咖啡厅,黑客采用定点攻击,搭建WIFI热点让其用户连接监听用户所有流量包进行劫持,这两天会发表一篇关于DNS劫持的文章,他们之间有异曲同工之妙的联系。

官方表态

16:40分时,淘宝网壕风雄震在新浪微博致谢漏洞挖掘者5W元人民币:

8

甲方公司这样的态度令人称赞,让我们共同呼吁铸造安全互联网!

最终结论

说到底,用户怎么样才能保证自己的支付安全?

1、开启短信验证码支付

2、手机支付的话开启手势支付

3、绑定数字证书

4、不链接陌生的Wifi

5、使用复杂密码(重要网站使用独立密码)

6、没有必要的话手机不要越狱或者Root

7、…

安全是一个整体,单线安全注定不安全,这就需要服务商与我们共同的安全意识。

link to Chrome web store

相关日志

You are receiving this email because you subscribed to this feed at blogtrottr.com.

If you no longer wish to receive these emails, you can unsubscribe from this feed, or manage all your subscriptions

没有评论:

发表评论