鱼叉式钓鱼与PayTM的安全问题
在深入技术细节前,我确认该漏洞已被修复。感谢PayTM团队的快速响应,期待未来在安全问题上继续保持这种高效处理。
漏洞概述
攻击者可利用该漏洞发起鱼叉式钓鱼攻击。PayTM主站存在信息泄露漏洞,未经认证的用户可通过手机号查询关联邮箱地址。这意味着只要掌握目标手机号,就能获取其在PayTM的注册邮箱,进而实施精准邮件攻击。
技术分析
PayTM登录页面URL为:https://hub.paytm.com/user/authenticate
邮箱查询漏洞
- 点击"忘记密码"功能
- 输入测试邮箱
test@test.com后,系统返回部分隐藏的邮箱(如:****) - 实际HTTP请求:
- GET请求发送至
/api/users//checkemail - 携带自定义请求头:
X_PAYTMAPP_USERNAME和X_PAYTMAPP_KEY
- GET请求发送至
- 响应包关键信息:
1 2 3 4 5 6 7 8{ "Status": "Success", "Code": 200, "Method": "check_email", "email_exist": true, "email_count": 15, "verified_account": false }
手机号关联漏洞
- 输入测试手机号
9123456789 - 系统返回提示:“已发送邮件至q****d@gmail.com”
- 实际HTTP请求:
- GET请求发送至
/api/users//checkmobile - POST请求发送至
/api/users/forgetPassword
- GET请求发送至
- 响应包意外暴露完整邮箱地址
攻击场景复现
攻击者可结合以下信息实施精准钓鱼:
- 从投诉网站获取用户订单信息(示例链接已脱敏):
- hxxp://www.consumercomplaints.in/?search=paytm
- hxxp://www.complaintboard.in/complaints-reviews/paytm-mobile-solutions-l120761.html
- 通过本文漏洞获取注册邮箱
- 构造伪造域名邮件实施社会工程学攻击
漏洞披露时间线
- 2013.07.20:首次通过联系表单提交漏洞
- 2013.07.27:发送邮件至care@paytm.com(工单100794989)
- 2013.08.01:发送最终通牒邮件
- 2013.08.02:公开披露
- 2013.08.05:漏洞修复
安全提示:切勿点击/下载不明来源内容。保持警惕,安全上网!
|
|