中国工商银行账户批量猜测,导致信息泄露,工商银行登录方式可以自己设置用户名,如果让不法分子利用,则可能出现暴力破解登录,从而造成账户信息的泄露。
1.开通正常网银,登录,点击:客户服务-个性化定制-个性化定制:然后抓包验证第二种登录方式中的登录用户名的合法性:如图:
这里有两种情况:
一:用户名可以通过,这就证明这个名字还没有被使用,没有利用价值。
二:用户名提示叉号,则证明这个名字已经被使用了,可以利用一下下,当然凭运气了。
这里我使用了好多名字进行验证,像:史珍香(shizhenxiang),王伟(wangwei)等常用名字,然后将用户名作为密码登录:如图提示:
账号冻结,我可是仅仅尝试了一次,就是这个信息,证明有人登陆次数过多,才冻结的。之后利用少于6个字符的尝试猜解出现如图所示:
大粪(dafen),这种短的名称给了贵宾用户,其实这是安全的,一会会说。
2.开始抓包,跑字典,猜解已经使用过的用户名:
一:先使用httpwatch:如图:
使用:nidaye 抓包截图:
注意返回信息。再用:wodayede抓包截图:
再次注意返回信息。都明白。。。。
3.利用burp抓包,批量测试:
如图:
发送到攻击模块
把:shuoshenme作为变量,执行字典,这里测试举了几个极端例子,如图:
看返回长度就清楚,像wangyi、wangwei,这样的名字应该已经被注册了,再看看burp的返回值:注意两张图的对比:
返回值不同。
4.只后利用猜解到的账号,将账号作为密码,到前台登录页面进行验证,这里要说明一点,先看图:
这里是登陆密码的修改,“必须为数字和字母的组合,且要长于六位”,所以在跑字典猜解用户名的时候就要使用字母和数字作为用户名,因为你要使用用户名作为登录密码,而密码是有限制的。在说说上面那种少于六位的用户名,其实这种用户名是安全的,因为密码的长度导致了,这种短的用户名不可能作为密码登录。
5.登录成功后,就可以查看你要的信息了,至于转账,似乎没有可能,因为需要U盾。
漏洞修补方法: