记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

某第三方漏洞导致只需一个手机号即可查到你的账户资金变动信息(包括余额、工资、资金明细、转账验证码等)

2015-12-08 23:35

#0 漏洞声明

仅对系统做了安全测试,未对系统造成任何破坏,未获取保存任何一条数据记录。

#1 受影响服务

http://**.**.**.**/ ,联动优势是中国移动、中国银联的合资公司,中国银联与中国移动联合推出银行通知服务,银行直接使用指定的信息系统,向用户推送银行的每一笔短信。

联动优势.jpg



code 区域
银信通(FMS)是“银行信息通知系统(Instant Financial Messaging System)”,该系统是基于中国移动通信短信平台和银行金融数据库开发的金融数据通信平台,并充分利用互联网和GSM网络资源,以经济快捷的方式,让银行及银行的个人客户和企业客户可以随时随地享受金融服务  。

bank.jpg



#2 提供的业务功能

code 区域
1、 帐务变动类通知服务

银信通系统自动向用户的手机发送文字短信息,把帐务变动情况实时发布,或按照银信通系统的设定时间通知用户。

2、 信息提醒类通知服务

贷款到期、定期存款到期、信用卡到期换卡、信用卡透支、信用卡支付、银行新业务、银行利率变动等通知服务。

3、 专业服务

A、证券信息通知

成交回报、撤单成功、委托受理、股份变动、证券市场信息等信息通知服务。

B、 外汇信息通知

收盘汇价、外汇帐户资金情况、成交回报、汇市分析短评、每日财经数据报告通知、汇率变动等信息通知服务。



#3 漏洞技术性描述

由于银信通业务系统存在漏洞,导致银行通知给用户的短信记录,可被在线查到。

#4 银信通在线应用,存在struts2远程命令执行漏洞(存在5年的漏洞)

http://**.**.**.**:8899/fiscmmstest/struts/login.action

yxt.jpg



#5 业务系统下的子系统均使用了tomcat中间件,同时配置的用户密码都一致

这样银信通的业务支撑系统将直接被影响:http://**.**.**.**/bis/login.jsp

bis.jpg



yewuxitong.jpg

漏洞证明:

#6 业务系统提供了MAS(专门发送短信的服务器)短信记录查询功能,可以查询到银行给每个手机用户推送的信息,以及用户发送给银行的信息。

支撑平台.jpg



#7 找出隐藏的金额信息,反编译出内部使用的数据查询API接口

api.png



#8 重新定义请求

mask 区域
*****&bk=银行的服务号&a*****



返回的JSON原始短信内容

记录1.jpg



记录2.jpg

修复方案:

#1 业务系统存在明显的漏洞,修复

#2 这个struts2漏洞存在了5年,却还没修复

知识来源: www.wooyun.org/bugs/wooyun-2015-0149163

阅读:76531 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“某第三方漏洞导致只需一个手机号即可查到你的账户资金变动信息(包括余额、工资、资金明细、转账验证码等)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云