首页
社区
课程
招聘
(转)乌云曝淘宝用户账号信息泄露漏洞
发表于: 2014-11-28 10:49 798

(转)乌云曝淘宝用户账号信息泄露漏洞

2014-11-28 10:49
798
新闻链接:http://netsecurity.51cto.com/art/201411/458298.htm
   新闻时间:2014-11-27
   新闻正文:
今日,乌云漏洞公开了一个关于导致任意淘宝账号信息泄露的漏洞。该漏洞于10月13日由乌云白帽子谢祥应提出,通过这个漏洞可以获取淘宝会员的姓名、手机、邮箱信息。目前,厂商已经确认漏洞并进行恢复。

白帽子谢祥表示,在淘宝购物拍下一件商品后申请代付,写上需要查的淘宝账号。到确认时,查找以“2008”开头的源代码,找到:

<input type="hidden" name="peerPayerCardNo" value="2088412456214924") />
这步也可以在代付记录里审核元素查看,然后在火狐上模拟手机访问网页,跳转到手机版付款界面,选择其他方式支付。

乌云曝任意淘宝用户账号信息泄露的漏洞  

乌云曝任意淘宝用户账号信息泄露的漏洞

截图来自乌云

根据下图所示,进行代码替换。

乌云曝任意淘宝用户账号信息泄露的漏洞

乌云曝淘宝用户账号信息泄露漏洞

截图来自乌云

具体操作参见漏洞演示视频,如下:

通过以上视频中演示的这个方法可以查询会员的支付宝电话。如果这些被泄露的电话落到坏人手里就可以实施一系列的诈骗活动。为什么近期那么多人接到说是淘宝客服的电话呢?原因在于很多人已经掌握了这个漏洞,现在市面上很多采集软件能自动采集淘宝网全网没有匿名的用户。在此,小编提醒淘宝用户小心被钓鱼。

值得一提的是,淘宝存在的安全问题已不是第一次被曝光。今年2月份,乌云平台就曾曝出淘宝安全认证机制存在漏洞,黑客可以简单利用该漏洞登录他人淘宝/支付宝账号进行操作——任何人无需密码,只需通过搜索引擎、便可直接获取其他用户的隐私(账户余额、交易记录、收货地址、姓名手机号码等敏感信息)。去年10月,乌云漏洞平台亦发布信息报告称,阿里推出的移动通信软件“来往”出现安全漏洞。漏洞描述中称“来往导致淘宝账号可被破解,波及余额宝支付宝。”而在阿里将淘宝、支付宝、来往等账号打通的背后,但凡有一端出现漏洞,其它账号也将受牵连。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//