2014-05-24:细节已通知厂商并且等待厂商处理中
2014-05-29:厂商已经确认,细节仅向厂商公开
2014-06-08:细节向核心白帽子及相关领域专家公开
2014-06-18:细节向普通白帽子公开
2014-06-28:细节向实习白帽子公开
2014-07-09:细节向公众公开
可定向攻击用户,对其刷卡交易进行监控,并可查询某些信息,如额度等。在下不才,请多谅解!^_^
详细说明:中国银行微信银行存在漏洞,可绑定他人信用卡账号,从而可对其信用卡卡片数量,各个卡片额度,消费额,积分,剩余额度等进行查询,可开通交易交易提醒对其消费进行监视。
漏洞证明:首先到微信银行绑定界面,输入一个可获取手机验证码的身份证号码。
获取验证码之后,系统会对 验证码进行验证,验证成功后会进行绑定,其交易如下,在该处篡改绑定的身份证号码。
如果该身份证号码在中行有信用卡,则会显示信用卡卡片选择的页面,如下
选择一个进行绑定,即可成功绑定一张他人的信用卡。
下面就是各种微信的正常使用
【积分查询】
【额度查询】
也可以更改绑定,来查询不同的卡
这里有个消费提醒,可以监控他人消费(偷偷绑定老公信用卡,消费信息早知道!^_^)
许多银行都开始推广微信银行,其中有一定数量的银行存在大小的安全问题,建议各个银行进行自查。
对于微信绑定这一块的漏洞,不仅是银行,包括运营商也有此类问题,建议相关单位进行自查!
另外银监会是不是也要对微信进行一下限制了?比如限制快捷支付,限制交易,或者限制绑定等等~
在下不才,请多谅解!
危害等级:中
漏洞Rank:7
确认时间:2014-05-29 09:27
厂商回复:转由CNCERT协调网站管理方通报处置。
最新状态:暂无