[公开漏洞]支付宝客户端扫描二维码登陆缺陷可进行账号劫持

来源：WooYun　浏览：885次　时间：2014-06-16

支付宝客户端扫描二维码登陆缺陷可进行账号劫持相关厂商：支付宝漏洞作者：i8u 提交时间：2014-05-02 13:26 公开时间：2014-06-16 13:27 漏洞类型：CSRF 危害等级：高自评Rank：20 漏洞状态：厂商已经确认漏洞来源：http://www.wooyun.org Tags标签： csrf漏洞利用漏洞详情披露状态：

2014-05-02：细节已通知厂商并且等待厂商处理中
2014-05-05：厂商已经确认，细节仅向厂商公开
2014-05-15：细节向核心白帽子及相关领域专家公开
2014-05-25：细节向普通白帽子公开
2014-06-04：细节向实习白帽子公开
2014-06-16：细节向公众公开

简要描述：

当你浏览器登录支付宝的情况下，你敢用手机支付宝客户端扫其他网站的二维码吗？

详细说明：

技术细节：

支付宝二维码页面：https://auth.alipay.com/login/homeB.htm?redirectType=parent

该页面请求之后会返回securityId（如web|authcenter_querypwd_login|2fb227a3-e5c0-469e-b27f-471b584cf070），barcode(如https://qr.alipay.com/plpyjknzdbjrluty4b)

securityId主要是来给前端轮询二维码扫描状态的；而barcode是二维码中的字符串，给手机客户端扫描用的。

轮询接口：https://securitycore.alipay.com/barcode/barcodeProcessStatus.json?securityId=web|authcenter_querypwd_login|2fb227a3-e5c0-469e-b27f-471b584cf070&_callback=light.request._callbacks.callback2

二维码的状态信息有waiting(等待扫描)、scan（已扫描）、confirm（手机扫描之后点击确定登录）还有timeout（超时失效）。

二维码扫描之后确认登录请求：https://mobile.alipay.com/scanResult.htm postdata：securityId=web|authcenter_querypwd_login|2fb227a3-e5c0-469e-b27f-471b584cf070

正常的流程是：

1.用户浏览器访问扫码登录页面，页面生成二维码并一直在轮询二维码状态；

2.用户用支付宝客户端扫描二维码，二维码状态变成scan，等待用户确认登录；

3.用户在手机上确认登录；

4.二维码状态变成confirm，浏览器实现以扫描手机的支付宝用户登录支付宝。

但是在第三步，即确认登录请求接口却有一个csrf！

POC流程：

1.攻击者访问扫码登录页面，自己写个浏览器插件实时提取出里面的securityId和barcode，并更新securityId状态到本地，若timeout则刷新二维码；

2.攻击者从本地将barcode当字符串生成自己的二维码图片放在自己的网站上，js一直轮询本地的securityId状态；

3.受害者浏览器登录支付宝的前提下，访问攻击者页面，用手机支付宝客户端扫描上面的二维码；

4.js轮询到securityId变成scan，在一个隐藏iframe里提交form表单来做确认登录请求；

5.攻击者访问的扫码登录页面实现登录受害者的支付宝账号。