中国工商银行账户批量猜测,导致信息泄露,工商银行登录方式可以自己设置用户名,如果让不法分子利用,则可能出现暴力破解登录,从而造成账户信息的泄露。
1.开通正常网银,登录,点击:客户服务-个性化定制-个性化定制:然后抓包验证第二种登录方式中的登录用户名的合法性:如图:
这里有两种情况:
一:用户名可以通过,这就证明这个名字还没有被使用,没有利用价值。
二:用户名提示叉号,则证明这个名字已经被使用了,可以利用一下下,当然凭运气了。
这里我使用了好多名字进行验证,像:史珍香(shizhenxiang),王伟(wangwei)等常用名字,然后将用户名作为密码登录:如图提示:
账号冻结,我可是仅仅尝试了一次,就是这个信息,证明有人登陆次数过多,才冻结的。之后利用少于6个字符的尝试猜解出现如图所示:
大粪(dafen),这种短的名称给了贵宾用户,其实这是安全的,一会会说。
2.开始抓包,跑字典,猜解已经使用过的用户名:
一:先使用httpwatch:如图:
使用:nidaye 抓包截图:
注意返回信息。再用:wodayede抓包截图:
再次注意返回信息。都明白。。。。
3.利用burp抓包,批量测试:
如图:
发送到攻击模块
把:shuoshenme作为变量,执行字典,这里测试举了几个极端例子,如图:
看返回长度就清楚,像wangyi、wangwei,这样的名字应该已经被注册了,再看看burp的返回值:注意两张图的对比:
返回值不同。
4.只后利用猜解到的账号,将账号作为密码,到前台登录页面进行验证,这里要说明一点,先看图:
这里是登陆密码的修改,“必须为数字和字母的组合,且要长于六位”,所以在跑字典猜解用户名的时候就要使用字母和数字作为用户名,因为你要使用用户名作为登录密码,而密码是有限制的。在说说上面那种少于六位的用户名,其实这种用户名是安全的,因为密码的长度导致了,这种短的用户名不可能作为密码登录。
5.登录成功后,就可以查看你要的信息了,至于转账,似乎没有可能,因为需要U盾。
漏洞修补方法:
1.严格账户控制体系。
2.登录密码不能和用户名相同。
版权与免责声明:
凡注明稿件来源的内容均为转载稿或由网友用户注册发布,本网转载出于传递更多信息的目的;如转载稿涉及版权问题,请作者联系我们,同时对于用户评论等信息,本网并不意味着赞同其观点或证实其内容的真实性;
![英雄棋士团(预下载)?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/yingxiongqishituanyuxiazai.jpg)
![美食小当家?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/meishixiaodangjia.png)
![2047?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/2047.jpg)
![荣誉指挥官(预下载)?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/rongyuzhihuiguanyuxiazai.png)
![繁荣美食市场物语?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/fanrongmeishishichangwuyu.jpg)
![夸克浏览器 v4.2.1.138 好用的手机浏览器?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/kuakezuolanqi.jpg)
![移动办公软件 OfficeSuite Premium v10.18.28716 内购解锁版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/yidongbangongruanjian.jpg)
![乐秀视频编辑器 VideoShow v8.8.4 内购解锁版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/lexiushipinbianjiqi.png)
![X 浏览器 v3.3.9 一款小巧的安卓浏览器?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/x.jpg)
![安卓密码管理软件 Enpass v6.4.5.368 内购解锁版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/anzhuomimaguanliruanjian.jpg)
![差分复制同步 FastCopy-M v3.6.3.51 绿色便携版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/FastCopy3.png)
![多标签页拓展 Clover v3.5.2 Build 19809 精简绿色版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/Clover.png)
![文件重命名 Advanced Renamer v3.85 Lite 绿色便携版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/Advanced_Renamer.png)
![网络防火监控 GlassWire Elite v2.1.166 绿色便携版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/GlassWire.png)
![影音播放器 Daum Potplayer v1.7.20538 美化便携版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/PotPlayer.png)
