我是如何发现工行漏洞的(一)
已有 3239 次阅读2009-3-12 18:27
发现第一个漏洞纯属偶然.
某天想在工行网站通过"自助注册手机银行(短信)"开通手机银行,因为卡一年多没用过,密码记不清梦了,就多试了几次,试了6次后,本以为卡会被冻结了,但是抱着试试看的心态又输入了一次,结果还是显示密码错误,接下来就一直试了大约几十次,总是显示密码错误.我怀疑是不是我的卡实质上已经被冻结了,只是在网上显示密码错误而已.于是到ATM机上试了一次,密码不对,但是卡没被吞,说明我的卡还是正常的.
当在网上试第七次还显示密码错误的时候,已经初步判断出是工行存在漏洞了,经过ATM测试,更进一步坚定了我的判断,为了进一步证实我的判断,就要把我这张卡的正确密码找出来.我把所有我有可能使用的密码都列在了一张纸上,大约试了有一百多个,仍然没有找出正确的密码,安静下来努力回忆一年前设置密码时的情景,只依稀记得应该是使用了某种逻辑模式来设置的密码,可是密码仍然记不起来.第二天又进行了尝试,还是找不出正确密码.于是特地去了银行柜台去找感觉,仔细看了银行的密码输入装置,再回家静心回忆,终于找到了当初设置密码的那种感觉,把密码限定在一定的组合范围内,经过几次尝试后,终于输对了正确的密码.
从我找出密码的过程,完全证实了工行漏洞的存在,这个漏洞就是工行在"自助注册手机银行(短信)"中,对用户进行密码尝试没有进行限制,这样就可以编写程序自动对所有可能的密码进行遍历从而找到正确的密码--暴力破解!