-
-
民生银行被曝漏洞 可致其Android客户端敏感信息泄露
-
发表于: 2013-11-6 11:04
-
新闻链接:576K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3&6W2N6s2y4W2j5%4g2J5K9i4c8&6i4K6u0W2y4e0q4U0N6r3!0Q4x3X3g2U0L8$3#2Q4x3V1k6S2M7Y4c8Q4x3V1j5J5x3o6p5K6x3e0q4Q4x3V1j5@1x3e0f1^5y4U0q4Q4x3X3g2Z5N6r3@1`.
新闻时间:2013-11-06
新闻正文:随着“11.11”购物节的临近,手机支付也受到越来越多关注。然而,手机支付虽方便,却也存在更多安全隐患。近日,乌云漏洞报告平台公开了中国民生银行漏洞,称该漏洞可导致民生银行Android客户端敏感信息泄露。9月14日,名为Elegance的白帽子向乌云漏洞报告平台提交了这一漏洞,将漏洞细节通知了相关厂商,9月18日,该漏洞获得了相关厂商确认。目前,该漏洞已交由第三方(cncert国家互联网应急中心)处理。
乌云漏洞报告平台在对该漏洞的详细描述中称:“账户权限控制没做好,漏了几个地方。导致可查询任意账号的余额及进出帐情况。”
该漏洞被证明可查询账户余额:
民生银行Android客户端敏感信息泄露
图中的ip:10.16.6.68疑似内网地址
如果将参数中的卡号换成B账号的卡号,也能实现查询,见下图:
民生银行Android客户端漏洞可致敏感信息泄露
相关厂商对此漏洞已经进行了确认,并将危害等级定为“高”级,且转由CNCERT直接联系民生银行信息化管理部门。
新闻时间:2013-11-06
新闻正文:随着“11.11”购物节的临近,手机支付也受到越来越多关注。然而,手机支付虽方便,却也存在更多安全隐患。近日,乌云漏洞报告平台公开了中国民生银行漏洞,称该漏洞可导致民生银行Android客户端敏感信息泄露。9月14日,名为Elegance的白帽子向乌云漏洞报告平台提交了这一漏洞,将漏洞细节通知了相关厂商,9月18日,该漏洞获得了相关厂商确认。目前,该漏洞已交由第三方(cncert国家互联网应急中心)处理。
乌云漏洞报告平台在对该漏洞的详细描述中称:“账户权限控制没做好,漏了几个地方。导致可查询任意账号的余额及进出帐情况。”
该漏洞被证明可查询账户余额:
民生银行Android客户端敏感信息泄露
图中的ip:10.16.6.68疑似内网地址
如果将参数中的卡号换成B账号的卡号,也能实现查询,见下图:
民生银行Android客户端漏洞可致敏感信息泄露
相关厂商对此漏洞已经进行了确认,并将危害等级定为“高”级,且转由CNCERT直接联系民生银行信息化管理部门。
|
|
|---|---|
