[原创]中国招商银行设计严重缺陷-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]中国招商银行设计严重缺陷

发表于: 2013-9-29 12:17 9200

[原创]中国招商银行设计严重缺陷

半斤八兩

2013-9-29 12:17

9200

查看主题内容

收藏・6

免费・5

支持

最新回复 (98) ◀ 1 2 3 4 ▶
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 26 楼你好,我是测试过的, 可以无限次数打款, 对方都能收到收款提示.~ 2013-9-29 14:24 0
KooJiSung 雪币： 357 活跃值： (3453) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 27 楼这是楼主的用大篇幅解释一个简单问题带来的问题一句话就是楼上说的原来当作确认的短信竟然这么扯~ 再详细一点就是用一个完全不存在的帐号,汇一个虚假的钱,对方也会收到到帐短信提示即使汇款当时已经提示转账失败 2013-9-29 14:28 0
程序原雪币： 10378 活跃值： (5268) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 139 粉丝 72 关注私信	程序原 28 楼就这样我被骗了130块哈哈 2013-9-29 14:47 0
信是有缘雪币： 212 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 25 粉丝 0 关注私信	信是有缘 29 楼这个BUG应该是招行开发的短信台程序有问题。移动运营商的短信台发送的内容都是由接口程序提供的内容。程序判断不严谨！ 2013-9-29 15:19 0
zhczf 雪币： 11096 活跃值： (17617) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 402 粉丝 0 关注私信	zhczf 30 楼楼主高人啊，支持楼主分享BUG 2013-9-29 15:50 0
JinEver 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	JinEver 31 楼你把这块肥皂捡了我们就是朋友了 2013-9-29 15:57 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 32 楼已捡，求带。 2013-9-29 16:08 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 33 楼八两最近的好文真多.. 2013-9-29 16:57 0
obaby 雪币： 14983 活跃值： (5285) 能力值： ( LV15，RANK：880 ) 在线值：发帖 53 回帖 646 粉丝 81 关注私信	obaby 20 34 楼这个东西没注意，话说在win8下有段时间直接起不来，并且经常性内存校验失败。反正是比较蛋疼。 2013-9-29 16:59 0
gxwtk 雪币： 282 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 95 粉丝 0 关注私信	gxwtk 35 楼 1. 其实也不算是Bug吧，银行之间的账户变动是不能相互共享的。难到我建行的余额变动要告诉你工行的吗？？视乎不需要吧。 2. 短信只是说你有转账这个操作，然后就发送信息到收款人手机，如果你的银行卡有绑定账户变动提醒，只有你的账户变动了，如密码输入错误超过3次，余额变动，登陆网银之类的，这个提醒才是真的是确认信息。 3. 所以钱到没到，是看收款人的余额变动提醒。 4. 跨行转账是需要时间的，系统不会连续几天都循环去判断与对方的转账成功与否。所以，他只管自己的事，别人的事，他就关不到了。个人认为。哈哈。 2013-9-29 17:05 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 36 楼我今天给我几个同事都弄过,他们都以为我给他汇钱了. 10个有7个,都会信以为真. 也许他的设计是合逻辑的. 但是,这个短信提醒,在国内,被骗的可能性非常大. 特别是在被坏人利用后. 我同事还都是搞IT的,都会被骗.如果是非IT的人民,那不是更会被骗了? 2013-9-29 17:14 0
PPTV 雪币： 9698 活跃值： (2506) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 153 粉丝 0 关注私信	PPTV 37 楼我觉得合情合理，发个短信能被骗，我只能说活该！除了熟人看下短信，不认识的人吊都不吊你！ 2013-9-29 17:24 0
鬼谷子c 雪币： 507 活跃值： (130) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 261 粉丝 6 关注私信	鬼谷子c 1 38 楼支持一下，以后肯定会注意这种情况的··· 2013-9-29 17:27 0
Ethernet 雪币： 203 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 139 粉丝 0 关注私信	Ethernet 39 楼您输入的信息太短，您发布的信息至少为 4 个字符 2013-9-29 17:38 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 40 楼我不知道你有没有在网上做过类似的交易. 就是,别人给你钱,你给别人源码. 比如交易额是1W, 这时你收到对方的短信了,说对方打了1W了. 这个时候,对方就开始吹你快点发源码. 10有8-9 都会直接发的. 这个问题,就跟,早些年, 我们关闭邮箱,不是点 [退出] 按钮而是直接点右上角(windows)的叉叉结束一样. 就因为没有点 [退出] 按钮, session一直存活. 最终导致用户艳照全部被盗. 看似很小的问题, 却隐藏着很可怕的后果. -------------------------------------------- 也许我贴子的标题有些浮夸. 站在招商的程序猿角度来看,这确实不是BUG. 但是,这个不得否认的就是,存在严重的安全隐患~ 2013-9-29 17:39 0
旧信纸雪币： 50 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 178 粉丝 1 关注私信	旧信纸 41 楼马克。。。。 2013-9-29 18:17 0
Claud 雪币： 1413 活跃值： (401) 能力值： (RANK：270 ) 在线值：发帖 34 回帖 278 粉丝 43 关注私信	Claud 6 42 楼 1. 这个肯定算严重的漏洞，简单地说，就是可以用招行的号码向他人手机号发送汇款成功通知，用于各类诈骗应该会非常有效。 2. 判断一个问题是否安全漏洞，并不能如楼上几位那样去看为什么这样实现是合理的，或者为什么这样不会导致XXX风险。所有的程序问题，只要可以从一个角度去利用并产生安全风险的可能，就应该算作漏洞。 3. 不过把主贴看了两遍，还是没看到“对方收到收款成功”的短信。 4. 如果对方是建行，那么收到的只是招行的短信吗？如果对方也是招行，这种方法还有效吗？ 5. 八两妹子最近发的东西都蛮好玩的，求交（gao）往（ji）。 2013-9-29 20:01 0
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 43 楼小心被查水表啊。。。 2013-9-29 20:34 0
静and默雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	静and默 44 楼楼主好有钱。。。。 2013-9-29 21:16 0
风殇之独雪币： 469 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	风殇之独 45 楼多谢提醒了 2013-9-29 21:35 0
荒野无灯雪币： 406 活跃值： (164) 能力值： ( LV12，RANK：250 ) 在线值：发帖 33 回帖 262 粉丝 4 关注私信	荒野无灯 5 46 楼这个好玩 2013-9-29 22:04 0
lwykj 雪币： 1098 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 243 粉丝 1 关注私信	lwykj 47 楼中国特色阿!~ 2013-9-29 22:45 0
学者learner 雪币： 141 活跃值： (318) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 172 粉丝 0 关注私信	学者learner 48 楼呵呵，不错。。。。。 2013-9-29 22:49 0
Prolovecui 雪币： 396 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 75 粉丝 1 关注私信	Prolovecui 49 楼这个必须得支持，招商的系统这么会出这么大的漏洞啊，它的网银谁还敢用啊 2013-9-29 23:31 0
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 50 楼如果骗子看到了这个帖子，而招行的木有看到，估计就杯具了。。。 2013-9-29 23:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

半斤八兩

发帖

610

回帖

520

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (98) ◀ 1 2 3 4 ▶
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 26 楼你好,我是测试过的, 可以无限次数打款, 对方都能收到收款提示.~ 2013-9-29 14:24 0
KooJiSung 雪币： 357 活跃值： (3453) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 27 楼这是楼主的用大篇幅解释一个简单问题带来的问题一句话就是楼上说的原来当作确认的短信竟然这么扯~ 再详细一点就是用一个完全不存在的帐号,汇一个虚假的钱,对方也会收到到帐短信提示即使汇款当时已经提示转账失败 2013-9-29 14:28 0
程序原雪币： 10378 活跃值： (5268) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 139 粉丝 72 关注私信	程序原 28 楼就这样我被骗了130块哈哈 2013-9-29 14:47 0
信是有缘雪币： 212 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 25 粉丝 0 关注私信	信是有缘 29 楼这个BUG应该是招行开发的短信台程序有问题。移动运营商的短信台发送的内容都是由接口程序提供的内容。程序判断不严谨！ 2013-9-29 15:19 0
zhczf 雪币： 11096 活跃值： (17617) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 402 粉丝 0 关注私信	zhczf 30 楼楼主高人啊，支持楼主分享BUG 2013-9-29 15:50 0
JinEver 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	JinEver 31 楼你把这块肥皂捡了我们就是朋友了 2013-9-29 15:57 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 32 楼已捡，求带。 2013-9-29 16:08 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 33 楼八两最近的好文真多.. 2013-9-29 16:57 0
obaby 雪币： 14983 活跃值： (5285) 能力值： ( LV15，RANK：880 ) 在线值：发帖 53 回帖 646 粉丝 81 关注私信	obaby 20 34 楼这个东西没注意，话说在win8下有段时间直接起不来，并且经常性内存校验失败。反正是比较蛋疼。 2013-9-29 16:59 0
gxwtk 雪币： 282 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 95 粉丝 0 关注私信	gxwtk 35 楼 1. 其实也不算是Bug吧，银行之间的账户变动是不能相互共享的。难到我建行的余额变动要告诉你工行的吗？？视乎不需要吧。 2. 短信只是说你有转账这个操作，然后就发送信息到收款人手机，如果你的银行卡有绑定账户变动提醒，只有你的账户变动了，如密码输入错误超过3次，余额变动，登陆网银之类的，这个提醒才是真的是确认信息。 3. 所以钱到没到，是看收款人的余额变动提醒。 4. 跨行转账是需要时间的，系统不会连续几天都循环去判断与对方的转账成功与否。所以，他只管自己的事，别人的事，他就关不到了。个人认为。哈哈。 2013-9-29 17:05 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 36 楼我今天给我几个同事都弄过,他们都以为我给他汇钱了. 10个有7个,都会信以为真. 也许他的设计是合逻辑的. 但是,这个短信提醒,在国内,被骗的可能性非常大. 特别是在被坏人利用后. 我同事还都是搞IT的,都会被骗.如果是非IT的人民,那不是更会被骗了? 2013-9-29 17:14 0
PPTV 雪币： 9698 活跃值： (2506) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 153 粉丝 0 关注私信	PPTV 37 楼我觉得合情合理，发个短信能被骗，我只能说活该！除了熟人看下短信，不认识的人吊都不吊你！ 2013-9-29 17:24 0
鬼谷子c 雪币： 507 活跃值： (130) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 261 粉丝 6 关注私信	鬼谷子c 1 38 楼支持一下，以后肯定会注意这种情况的··· 2013-9-29 17:27 0
Ethernet 雪币： 203 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 139 粉丝 0 关注私信	Ethernet 39 楼您输入的信息太短，您发布的信息至少为 4 个字符 2013-9-29 17:38 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 40 楼我不知道你有没有在网上做过类似的交易. 就是,别人给你钱,你给别人源码. 比如交易额是1W, 这时你收到对方的短信了,说对方打了1W了. 这个时候,对方就开始吹你快点发源码. 10有8-9 都会直接发的. 这个问题,就跟,早些年, 我们关闭邮箱,不是点 [退出] 按钮而是直接点右上角(windows)的叉叉结束一样. 就因为没有点 [退出] 按钮, session一直存活. 最终导致用户艳照全部被盗. 看似很小的问题, 却隐藏着很可怕的后果. -------------------------------------------- 也许我贴子的标题有些浮夸. 站在招商的程序猿角度来看,这确实不是BUG. 但是,这个不得否认的就是,存在严重的安全隐患~ 2013-9-29 17:39 0
旧信纸雪币： 50 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 178 粉丝 1 关注私信	旧信纸 41 楼马克。。。。 2013-9-29 18:17 0
Claud 雪币： 1413 活跃值： (401) 能力值： (RANK：270 ) 在线值：发帖 34 回帖 278 粉丝 43 关注私信	Claud 6 42 楼 1. 这个肯定算严重的漏洞，简单地说，就是可以用招行的号码向他人手机号发送汇款成功通知，用于各类诈骗应该会非常有效。 2. 判断一个问题是否安全漏洞，并不能如楼上几位那样去看为什么这样实现是合理的，或者为什么这样不会导致XXX风险。所有的程序问题，只要可以从一个角度去利用并产生安全风险的可能，就应该算作漏洞。 3. 不过把主贴看了两遍，还是没看到“对方收到收款成功”的短信。 4. 如果对方是建行，那么收到的只是招行的短信吗？如果对方也是招行，这种方法还有效吗？ 5. 八两妹子最近发的东西都蛮好玩的，求交（gao）往（ji）。 2013-9-29 20:01 0
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 43 楼小心被查水表啊。。。 2013-9-29 20:34 0
静and默雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	静and默 44 楼楼主好有钱。。。。 2013-9-29 21:16 0
风殇之独雪币： 469 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	风殇之独 45 楼多谢提醒了 2013-9-29 21:35 0
荒野无灯雪币： 406 活跃值： (164) 能力值： ( LV12，RANK：250 ) 在线值：发帖 33 回帖 262 粉丝 4 关注私信	荒野无灯 5 46 楼这个好玩 2013-9-29 22:04 0
lwykj 雪币： 1098 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 243 粉丝 1 关注私信	lwykj 47 楼中国特色阿!~ 2013-9-29 22:45 0
学者learner 雪币： 141 活跃值： (318) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 172 粉丝 0 关注私信	学者learner 48 楼呵呵，不错。。。。。 2013-9-29 22:49 0
Prolovecui 雪币： 396 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 75 粉丝 1 关注私信	Prolovecui 49 楼这个必须得支持，招商的系统这么会出这么大的漏洞啊，它的网银谁还敢用啊 2013-9-29 23:31 0
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 50 楼如果骗子看到了这个帖子，而招行的木有看到，估计就杯具了。。。 2013-9-29 23:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复