[原创]中国招商银行设计严重缺陷-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]中国招商银行设计严重缺陷

发表于: 2013-9-29 12:17 9050

[原创]中国招商银行设计严重缺陷

半斤八兩

2013-9-29 12:17

9050

/**************************************
/* 作者:半斤八兩
/* 博客:http://cnblogs.com/bjblcracked
/* 日期:2013-09-27 23:32
/**************************************

只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!

  当我们手机上收来一个95555(招商银行)的短信, 说XX于XX时间向贵卡转入XX元.换作一般的用户可能就会相信了.有点经验的网民,可能会想,这斯肯定是用了啥技术手段,复制了SIM卡. 或者种了什么病毒,在自己的通讯录上新建了个联系人,然后把这个联系人的名字改成了95555. 但是,如果你正准备和别人进行转账交易的时, 比如你和XX进行 100W的交易, 这个时候,短信说,XX向您汇了100W. 这时你还会有半点怀疑吗? 相信70%的人,都会信以为真的吧?

  这个BUG也是在我给我小姑转账的时候,发现的.当时我给我小姑转1W.但是转账的时候,提示是转账失败的. 做为一名屌丝遇到这种情况,第一反映就是去看看余额少了没有. 一看发现余额没有少. 这时,小姑微信上也说,"钱收到了,谢谢" . 我的第一反映,先是楞了几秒钟, 然后才反映过来, "招商惊现BUG!!!"

  钱没有少,却收到短信提示, 这很明显就是设计缺陷, 再我实际测试中,发现,是跨行的时候,就会出现这样的问题, 应该是和其他银行的接口没有做严格判断.

招商银行的问题:
1. 用户名判断不严谨.(招商只是对中国百家姓做判断.)
解决方案,(应该和数据库中的用户名做判断. 这个可以要求其他银行给个接口.)
2. 账号判断不严谨. (这个不能说判断不严谨,丫的就是没判断. 好像有判断长度.)
解决方案,(应该和数据库中的用户名做判断. 这个可以要求其他银行给个接口.)
3. 转账成功短信提示.(没有严谨的判断是否转账成功,就发短信提示.)
解决方案,(应该和数据库中的用户名做判断. 这个可以要求其他银行给个接口.)

BUG演示:
我小姑的是建设的,我就拿的建设的测试的,(其他行没有测试过.)

我们要先选择跨行汇款,

然后用户名按中华百家姓的标准来就行了,这里我就输入张三李四.
账号可以随便写.

然后点确定后就会弹个确定信息.不用理会,继续点确定.

这个时候,就会提示转账失败.(看到这里提示失败,就说明和接口应该没有关系.你已经能获取失败的信息了.为什么还要发送短信提示对方呢?)

没过一会,就来短信提示了.
我平时如果别人和我交易汇款.
我一般都是看了短信后,就确定付款了.

看了这篇文章,你还敢相信短信吗? 是不是瞬间感觉三观全毁了?

这个看是没有什么大问题的BUG,实际上却最容易被人忽视的.

如果这次我姑是和别人在生意上的交易,那么我姑就可能成为受害者了.

虽然短信上明确的表明了招商的立场, "本短信不作为入账凭证[招商银行]"
你是清白了,却害苦了老百姓了.

我个人感觉,这个就像 "科学研表究明" 一样. 让人混淆迷惑.

希望招商的程序员,能即时的解决掉这个BUG,要不然被坏人利用了....后果就....

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

短信提示.png （204.86kb，4次下载）
确认信息.png （14.15kb，2次下载）
选择异地汇款.png （14.30kb，3次下载）
转账10000.png （106.03kb，11次下载）
转账失败.png （4.80kb，2次下载）
收到钱了1.png （419.39kb，6次下载）
收到钱了2.png （418.44kb，3次下载）

收藏・6

免费・5

支持

最新回复 (98) 1 2 3 4 ▶
猫子雪币： 440 活跃值： (968) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 342 粉丝 1 关注私信	猫子 2 楼这个果断支持 2013-9-29 12:32 0
airbar 雪币： 8719 活跃值： (2085) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 166 粉丝 0 关注私信	airbar 3 楼我的也是招行的，这下可坏了。 2013-9-29 12:34 0
善良屠夫雪币： 201 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 159 粉丝 0 关注私信	善良屠夫 4 楼感谢啊，我一般也是只看短信的 2013-9-29 12:35 0
完美毛毛雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 55 粉丝 0 关注私信	完美毛毛 5 楼多谢你的提醒! 真是好人... 2013-9-29 12:39 0
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 6 楼土豪我们做朋友好吗 2013-9-29 12:48 0
LeoSky 雪币： 18 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 68 粉丝 0 关注私信	LeoSky 7 楼这个果断要顶，丫的我用的就是招商银行。。。 2013-9-29 12:54 0
Yecate 雪币： 149 活跃值： (2618) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 259 粉丝 6 关注私信	Yecate 8 楼土豪我们做朋友好不嘛 2013-9-29 12:59 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 9 楼土豪我们做朋友好吗 2013-9-29 13:00 0
crackhell 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 118 粉丝 0 关注私信	crackhell 10 楼过段时间再试试？不是说国庆期间跨行转可能会出问题嘛 2013-9-29 13:00 0
地狱怪客雪币： 341 活跃值： (138) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1126 粉丝 10 关注私信	地狱怪客 2 11 楼 haha...这个好玩啊。。。 2013-9-29 13:06 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 21 关注私信	半斤八兩 10 12 楼和放假没有关系的. 他们说的是放假期间不能转账, 现在还没有放假,还是可以转账的. 而且我第一次发现这个BUG,是好多天以前. 2013-9-29 13:07 0
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 44 关注私信	ddlx 5 13 楼招商银行真是不拿国人当回事啊 2013-9-29 13:11 0
Rtsjx 雪币： 112 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 131 粉丝 0 关注私信	Rtsjx 14 楼放到乌云去吧，好歹也是个敏感问题 2013-9-29 13:12 0
zxqloveyou 雪币： 215 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 141 粉丝 0 关注私信	zxqloveyou 15 楼 -.-希望招行能迅速解决问题 2013-9-29 13:12 0
sbd 雪币： 238 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 1 关注私信	sbd 16 楼异步事务处理的问题吧？ 2013-9-29 13:15 0
KooJiSung 雪币： 357 活跃值： (3133) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 17 楼没仔细看... 2013-9-29 13:18 0
joker陈雪币： 10726 活跃值： (2730) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 339 粉丝 4 关注私信	joker陈 18 楼找小姑娘聊天去。 2013-9-29 13:18 0
fosom 雪币： 1839 活跃值： (295) 能力值： ( LV9，RANK：370 ) 在线值：发帖 30 回帖 422 粉丝 24 关注私信	fosom 8 19 楼谁敢逆向一下？ 2013-9-29 13:22 0
囧囧雪币： 284 活跃值： (3394) 能力值： ( LV5，RANK：75 ) 在线值：发帖 69 回帖 335 粉丝 13 关注私信	囧囧 20 楼原来当作确认的短信竟然这么扯~ 2013-9-29 13:23 0
陈林00007 雪币： 2063 活跃值： (1752) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 132 粉丝 1 关注私信	陈林00007 21 楼国庆期间跨行转可能会出问题，这也不算bug吧，像支票转账，不是立即到账，不是当时就到账，比如你的卡里有1w3，你转给你小姑1w，你小姑那边提示受到，你这边看着钱没少，实际上你卡上的1w应该被锁住了，如果你再向你小姑转账1w，应该就提示不成功，余额不足 2013-9-29 13:45 0
tangyanl 雪币： 262 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	tangyanl 22 楼表明招商的立场的"本短信不作为入账凭证[招商银行]"这句话有国情特色 2013-9-29 13:48 0
Protected 雪币： 6695 活跃值： (1159) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 344 粉丝 1 关注私信	Protected 23 楼土豪我们做朋友好吗 2013-9-29 13:51 0
淡然出尘雪币： 4 活跃值： (726) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 112 粉丝 0 关注私信	淡然出尘 24 楼是不是姓名和账号都不需要事先测试只需要将发送短信这步放到成功转账之后就行？ 2013-9-29 13:52 0
淡然出尘雪币： 4 活跃值： (726) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 112 粉丝 0 关注私信	淡然出尘 25 楼第一条 1. 用户名判断不严谨.(招商只是对中国百家姓做判断.) 不算是BUG 不然能怎么判断... 不点击 “提交” 按钮应该判断不了；第二条 2. 账号判断不严谨. (这个不能说判断不严谨,丫的就是没判断. 好像有判断长度.) 倒是可以增加前几位有效性的判断； 2013-9-29 13:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

半斤八兩

发帖

610

回帖

520

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (98) 1 2 3 4 ▶
猫子雪币： 440 活跃值： (968) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 342 粉丝 1 关注私信	猫子 2 楼这个果断支持 2013-9-29 12:32 0
airbar 雪币： 8719 活跃值： (2085) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 166 粉丝 0 关注私信	airbar 3 楼我的也是招行的，这下可坏了。 2013-9-29 12:34 0
善良屠夫雪币： 201 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 159 粉丝 0 关注私信	善良屠夫 4 楼感谢啊，我一般也是只看短信的 2013-9-29 12:35 0
完美毛毛雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 55 粉丝 0 关注私信	完美毛毛 5 楼多谢你的提醒! 真是好人... 2013-9-29 12:39 0
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 6 楼土豪我们做朋友好吗 2013-9-29 12:48 0
LeoSky 雪币： 18 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 68 粉丝 0 关注私信	LeoSky 7 楼这个果断要顶，丫的我用的就是招商银行。。。 2013-9-29 12:54 0
Yecate 雪币： 149 活跃值： (2618) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 259 粉丝 6 关注私信	Yecate 8 楼土豪我们做朋友好不嘛 2013-9-29 12:59 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 9 楼土豪我们做朋友好吗 2013-9-29 13:00 0
crackhell 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 118 粉丝 0 关注私信	crackhell 10 楼过段时间再试试？不是说国庆期间跨行转可能会出问题嘛 2013-9-29 13:00 0
地狱怪客雪币： 341 活跃值： (138) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1126 粉丝 10 关注私信	地狱怪客 2 11 楼 haha...这个好玩啊。。。 2013-9-29 13:06 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 21 关注私信	半斤八兩 10 12 楼和放假没有关系的. 他们说的是放假期间不能转账, 现在还没有放假,还是可以转账的. 而且我第一次发现这个BUG,是好多天以前. 2013-9-29 13:07 0
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 44 关注私信	ddlx 5 13 楼招商银行真是不拿国人当回事啊 2013-9-29 13:11 0
Rtsjx 雪币： 112 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 131 粉丝 0 关注私信	Rtsjx 14 楼放到乌云去吧，好歹也是个敏感问题 2013-9-29 13:12 0
zxqloveyou 雪币： 215 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 141 粉丝 0 关注私信	zxqloveyou 15 楼 -.-希望招行能迅速解决问题 2013-9-29 13:12 0
sbd 雪币： 238 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 1 关注私信	sbd 16 楼异步事务处理的问题吧？ 2013-9-29 13:15 0
KooJiSung 雪币： 357 活跃值： (3133) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 17 楼没仔细看... 2013-9-29 13:18 0
joker陈雪币： 10726 活跃值： (2730) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 339 粉丝 4 关注私信	joker陈 18 楼找小姑娘聊天去。 2013-9-29 13:18 0
fosom 雪币： 1839 活跃值： (295) 能力值： ( LV9，RANK：370 ) 在线值：发帖 30 回帖 422 粉丝 24 关注私信	fosom 8 19 楼谁敢逆向一下？ 2013-9-29 13:22 0
囧囧雪币： 284 活跃值： (3394) 能力值： ( LV5，RANK：75 ) 在线值：发帖 69 回帖 335 粉丝 13 关注私信	囧囧 20 楼原来当作确认的短信竟然这么扯~ 2013-9-29 13:23 0
陈林00007 雪币： 2063 活跃值： (1752) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 132 粉丝 1 关注私信	陈林00007 21 楼国庆期间跨行转可能会出问题，这也不算bug吧，像支票转账，不是立即到账，不是当时就到账，比如你的卡里有1w3，你转给你小姑1w，你小姑那边提示受到，你这边看着钱没少，实际上你卡上的1w应该被锁住了，如果你再向你小姑转账1w，应该就提示不成功，余额不足 2013-9-29 13:45 0
tangyanl 雪币： 262 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	tangyanl 22 楼表明招商的立场的"本短信不作为入账凭证[招商银行]"这句话有国情特色 2013-9-29 13:48 0
Protected 雪币： 6695 活跃值： (1159) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 344 粉丝 1 关注私信	Protected 23 楼土豪我们做朋友好吗 2013-9-29 13:51 0
淡然出尘雪币： 4 活跃值： (726) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 112 粉丝 0 关注私信	淡然出尘 24 楼是不是姓名和账号都不需要事先测试只需要将发送短信这步放到成功转账之后就行？ 2013-9-29 13:52 0
淡然出尘雪币： 4 活跃值： (726) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 112 粉丝 0 关注私信	淡然出尘 25 楼第一条 1. 用户名判断不严谨.(招商只是对中国百家姓做判断.) 不算是BUG 不然能怎么判断... 不点击 “提交” 按钮应该判断不了；第二条 2. 账号判断不严谨. (这个不能说判断不严谨,丫的就是没判断. 好像有判断长度.) 倒是可以增加前几位有效性的判断； 2013-9-29 13:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复