2014-04-06:细节已通知厂商并且等待厂商处理中
2014-04-11:厂商已经确认,细节仅向厂商公开
2014-04-21:细节向核心白帽子及相关领域专家公开
2014-05-01:细节向普通白帽子公开
2014-05-11:细节向实习白帽子公开
2014-05-21:细节向公众公开
电信啊,啧啧啧..
详细说明:首先,从豌豆荚应用商店下载并安装"江苏电信掌上营业厅"。
在登录界面填入任意江苏省电信的手机号,获取一条短信密码。
抓包可以看到,短信验证码就在返回的内容中,用这个验证码即可登录掌上营业厅。
这里可以看到流量、话费、积分等信息,这都不是关键。我们点击图上红框部分,
可以看到,虽然APP输出的信息有打码,但实际上HTTP请求返回的数据没有打码..(为了保护隐私,图片做了模糊处理)
我们又用同样的方法,随机登录了几个手机号,确认了漏洞存在。同时发现每个手机号都有绑定身份证,但用户住址则不一定有。
至此,我们可以实现:查询任意江苏电信手机号的话费、积分、流量、机主的姓名、住址,以及身份证号。
有了这些资料,还能做什么呢?
我们登录江苏电信网上营业厅 http://js.189.cn/ 登录-找回密码-在线重置
来到了这个页面:
我们填入手机号和对应的身份证号,来到下一步
发送短信验证码看看,天啊电信你是有多喜欢返回验证码?
于是把密码改为998877:
成功登录网上营业厅:
试试看开通一个收费的包月业务:
成功开通,无需任何验证码
更多危害这里不再赘述。
两千万用户哇..
修复方案:
电信更专业:)
版权声明:转载请注明来源 超威蓝猫@乌云 漏洞回应 厂商回应:危害等级:高
漏洞Rank:11
确认时间:2014-04-11 14:08
厂商回复:CNVD确认所述情况(验证过程受CNVD团队验证条件所限,未直接全部复现),已经转由CNCERT下发给江苏分中心,由其后续协调当地基础电信企业处置。
最新状态:暂无