背景:當(dāng)時(shí)我在做公司的網(wǎng)站支付接入,在調(diào)試支付寶WAP支付時(shí),發(fā)現(xiàn)一些匪夷所思的事情:
1、我想要切換賬號(hào)時(shí)退到需要輸入登錄信息時(shí),原賬號(hào)并沒(méi)有退出,我按一下后退鍵又回來(lái)了;
2、我關(guān)閉瀏覽器也沒(méi)有退出賬號(hào),整個(gè)調(diào)試過(guò)程有差不多一個(gè)星期只登錄過(guò)一次,可以認(rèn)為登錄的賬號(hào)是無(wú)法退出的,除非成功另外一個(gè)賬號(hào);
由此,我開(kāi)始懷疑,支付寶WAP支付接口的Cookie有問(wèn)題,應(yīng)該是為了方便性設(shè)定存了很久時(shí)間。
于是我打開(kāi)用Firebug的Cookie頁(yè)面一探究竟,我對(duì)其中一條名為 ALIPAY_WAP_CASHIER_COOKIE 的Cookie產(chǎn)生的興趣,就是下圖紅色箭頭所指的那一條,這是一條64個(gè)只含大寫(xiě)字母和數(shù)字的字符串,有經(jīng)驗(yàn)的人都會(huì)知道,這一般就是哈希算法產(chǎn)生的密文(可能是MD5、SHA等的組合吧);
我抱著試一試的心態(tài),我在隔壁同事的電腦打開(kāi)了支付寶的WAP支付頁(yè),然后把這條Cookie復(fù)制到了過(guò)去,奇跡果然產(chǎn)生了,我的賬號(hào)直接在他那里登錄成功了,不用輸?shù)卿浢艽a也不需要手機(jī)號(hào)碼短信認(rèn)證。就是下圖這個(gè)樣子。
到這里,能看到的隱患就是黑客通過(guò)把木馬安裝在店家的WIFI,用來(lái)竊取Cookie信息,把上述這個(gè)Cookie拿走,然后慢慢試錯(cuò),直到把6位密碼破解出來(lái)(6位密碼可以算是弱口令了),如果采集的Cookie比較多,能暴力破解成功還是可以考慮的。
然而還有一種更恐怖的攻擊方法,注意到這條Cookie是 64個(gè)只含大寫(xiě)字母和數(shù)字的字符串,也就基本可以斷定這個(gè)是哈希算法加密的,而對(duì)于那些有豐富經(jīng)驗(yàn)的黑客來(lái)說(shuō),簡(jiǎn)單哈希加密的密文跟明文沒(méi)有太大區(qū)別,不信你可以看看 這個(gè)網(wǎng)站,兩到三級(jí)的哈希加密基本都能被查出來(lái),而這已經(jīng)是公開(kāi)的技術(shù)了,私密的民間高手技術(shù)有多高可以想象了吧。他們只需要用幾個(gè)賬號(hào)在支付寶網(wǎng)站生成幾個(gè)這種Cookie,然后還原出加密方法。他們能做的有兩件事:
1、使用大批量賬號(hào),可能達(dá)到數(shù)百萬(wàn)級(jí)別,自動(dòng)生成Cookie然后偽造登錄,暴力破解密碼。雖然每個(gè)賬號(hào)在三次試錯(cuò)機(jī)會(huì)中能撞對(duì)的概論很小很小,但他們可以延長(zhǎng)試錯(cuò)時(shí)間,而且基數(shù)這么大,成功的機(jī)會(huì)還是很多的。
2、第二個(gè)利用方法雖然沒(méi)有直接經(jīng)濟(jì)效益,但卻可以讓整個(gè)支付寶系統(tǒng)陷入癱瘓。因?yàn)橹Ц秾毭艽a輸入錯(cuò)誤超過(guò)3次就會(huì)賬號(hào)被凍結(jié),可以想象數(shù)千萬(wàn)甚至上億的支付寶賬號(hào)被凍結(jié)能給阿里帶來(lái)多大的沖擊嗎?這種攻擊最受益的應(yīng)該是阿里的競(jìng)爭(zhēng)對(duì)手們吧。
因?yàn)榇宋:κ执螅虼宋彝ㄟ^(guò)烏云報(bào)告給阿里巴巴,然而在經(jīng)過(guò)了一個(gè)星期的漫長(zhǎng)審核后,它給了這樣一個(gè)答復(fù)
呵呵。。。
然而當(dāng)我放完國(guó)慶長(zhǎng)假回來(lái),再次打開(kāi)支付寶的WAP頁(yè),卻發(fā)現(xiàn)這個(gè)Cookie漏洞被修復(fù)了,已經(jīng)沒(méi)有了幾條可能有問(wèn)題的Cookie!!!
烏云平臺(tái)里的廠商規(guī)則里有這樣一條嚴(yán)禁行為:“a)消極處理安全問(wèn)題包括不負(fù)責(zé)任的 評(píng)估安全問(wèn)題的嚴(yán)重性和后果,忽略后又悄悄修復(fù)等”。因此我多次用郵件以及微博的方式同烏云溝通,要求嚴(yán)肅處理此事情,不要傷害小白帽(以后可能要成黑帽 子了)的一片心思。然而并沒(méi)有得到什么有實(shí)際意義的答復(fù)。
前段時(shí)間看的一篇文章《一個(gè)iOS漏洞值多少錢(qián)?》,里面有這樣一句話“大多數(shù)白帽子對(duì)于蘋(píng)果這種高冷的行為感到受傷,從高雪峰苦笑的臉上似乎也找到同樣的答案。”。同樣,我也對(duì)阿里巴巴以及烏云的這種行為感到受傷。
既然漏洞已經(jīng)修復(fù)了,烏云不肯公開(kāi),我就在博客園里給大家攤開(kāi)來(lái)說(shuō)吧,僅以拋磚引玉,望各位前輩多多指教。
京公網(wǎng)安備 11010502049343號(hào)