-
-
民生银行被曝漏洞 可致其Android客户端敏感信息泄露
-
发表于: 2013-11-6 11:04
-
新闻链接:http://netsecurity.51cto.com/art/201311/415861.htm
新闻时间:2013-11-06
新闻正文:随着“11.11”购物节的临近,手机支付也受到越来越多关注。然而,手机支付虽方便,却也存在更多安全隐患。近日,乌云漏洞报告平台公开了中国民生银行漏洞,称该漏洞可导致民生银行Android客户端敏感信息泄露。9月14日,名为Elegance的白帽子向乌云漏洞报告平台提交了这一漏洞,将漏洞细节通知了相关厂商,9月18日,该漏洞获得了相关厂商确认。目前,该漏洞已交由第三方(cncert国家互联网应急中心)处理。
乌云漏洞报告平台在对该漏洞的详细描述中称:“账户权限控制没做好,漏了几个地方。导致可查询任意账号的余额及进出帐情况。”
该漏洞被证明可查询账户余额:
民生银行Android客户端敏感信息泄露
图中的ip:10.16.6.68疑似内网地址
如果将参数中的卡号换成B账号的卡号,也能实现查询,见下图:
民生银行Android客户端漏洞可致敏感信息泄露
相关厂商对此漏洞已经进行了确认,并将危害等级定为“高”级,且转由CNCERT直接联系民生银行信息化管理部门。
新闻时间:2013-11-06
新闻正文:随着“11.11”购物节的临近,手机支付也受到越来越多关注。然而,手机支付虽方便,却也存在更多安全隐患。近日,乌云漏洞报告平台公开了中国民生银行漏洞,称该漏洞可导致民生银行Android客户端敏感信息泄露。9月14日,名为Elegance的白帽子向乌云漏洞报告平台提交了这一漏洞,将漏洞细节通知了相关厂商,9月18日,该漏洞获得了相关厂商确认。目前,该漏洞已交由第三方(cncert国家互联网应急中心)处理。
乌云漏洞报告平台在对该漏洞的详细描述中称:“账户权限控制没做好,漏了几个地方。导致可查询任意账号的余额及进出帐情况。”
该漏洞被证明可查询账户余额:
民生银行Android客户端敏感信息泄露
图中的ip:10.16.6.68疑似内网地址
如果将参数中的卡号换成B账号的卡号,也能实现查询,见下图:
民生银行Android客户端漏洞可致敏感信息泄露
相关厂商对此漏洞已经进行了确认,并将危害等级定为“高”级,且转由CNCERT直接联系民生银行信息化管理部门。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
