中国网络渗透测试联盟
标题:
建设银行任意取钱漏洞
[打印本页]
作者:
admin
时间:
2012-12-4 22:29
标题:
建设银行任意取钱漏洞
漏洞概要 关注数(233) 关注此漏洞
9 O0 ]# }& o% f
( L; q. k) x& H/ b4 `
缺陷编号: WooYun-2012-15569
1 L/ l7 X7 _0 a0 S3 [
+ w$ b6 l! ]$ i0 b6 k
漏洞标题: 中国建设银行刷人民币漏洞
! d* p9 `) d! O/ B
8 D7 [+ b3 |) L' [2 e
相关厂商: 建设银行
! y# f0 T! @9 M$ B! \7 ~
% E: \, X3 T5 y
漏洞作者: only_guest
( k# a; h. Y- d1 {/ R
# l3 d8 T' ]: y
提交时间: 2012-12-03
' S4 C) \1 N& |( C& a
: `$ l, A9 e7 E/ X
漏洞类型: 设计缺陷/逻辑错误
) R% u& ^4 r5 R9 I4 ]' l
2 A0 v. |8 E R) N B0 o
危害等级: 高
) H! Y# A8 p1 M; |
p1 b: \) x6 [5 j! k
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理
* f5 `" Q( h& ~3 @
2 Y" s& y. _) Y( w9 O: S# w. M7 B
漏洞来源:
http://www.wooyun.org
5 m8 G9 k) Y5 w# i" `" g
5 y3 L0 W! w$ q- n; f$ d3 ~/ }
Tags标签: 无
v$ F5 K9 l6 D0 L, k6 }4 h/ h
% o" J' ~9 a$ i0 y# z
' a% I. g- v3 r9 e' e
/ |! P7 X# e0 j# S& d$ z
20人收藏收藏
5 e$ i! B! F( D( A5 W s* |
分享漏洞:
2 N$ S9 {: I( R4 ^0 ?
35
0 s' j; D& z9 h) k
3 s, I; u5 s; ], t2 X/ B
--------------------------------------------------------------------------------
1 v1 r- |5 z8 ?& t3 S) N- Y& x
: f6 o: P( i3 n- h U
漏洞详情
! o: x! G# s: Q/ t5 U! R+ u! i1 b6 ]
% @( [7 W7 r9 D; e5 D$ g
披露状态:
6 J$ k. g+ L$ i% { ^/ O
, N, }" t8 X9 U7 m$ @2 `
& C$ Y" {* E' Y, ^' y- O
* m, l4 X+ F2 m5 l. [3 }# y
2012-12-03: 细节已通知厂商并且等待厂商处理中
! a! |9 U5 u: J
2012-12-04: 厂商已经确认,细节仅向厂商公开
% ]' m- F) s: Z {4 H7 Y, Q
9 k! w1 M' I. B J" |: H
7 J2 p5 i7 R; b% e+ P% e: ~) f
简要描述:
% D" r; a5 F4 ?
# L$ V" |1 k8 {6 x4 r
偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
7 |- j2 D- J% M. E/ Q$ o2 U
测试用的.你们收回去就是了.我是良民.
3 P' S3 t( q, ]* q# A7 v
- q( L% V$ z$ r
漏洞hash:47b3d87350e20095c8f314b7b6405711
1 ]/ D. c& j2 `" B& \; k
' F/ A" W- D7 z
版权声明:转载请注明来源 only_guest@乌云
# A0 D% g) v9 t& U/ M8 f
9 H" q) a7 i4 ^" l) t2 o# c4 t4 u
--------------------------------------------------------------------------------
; K, S& ~( s2 q; }
# x/ F: {9 P* C$ U
漏洞回应
3 @$ j6 t, G# Y! A* ]( P. J
( ?) }7 _ ]( }5 b3 F# X! U
厂商回应:
: { W* Z& }1 I u6 L* b
7 ~) a+ U+ `6 |& Y
危害等级:高
% Z/ F* R' a0 Y7 e" I1 h* n
. K4 @( g" }% R3 {2 k
漏洞Rank:12
& m4 H1 M' Y- ], Z! O
+ Y( g+ f" O+ ?& e
确认时间:2012-12-04
J/ ]8 Z# Y- H- V* E8 R2 d% l7 P
* _1 R y7 a( o2 G
厂商回复:
6 c% H: H4 x0 `* J3 I+ u3 ?* q+ X/ K9 R
. k0 R7 u k/ b2 C
CNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。
5 Y& j' v; t) | N- w; P5 e
- }. _9 h8 T" L* g" Z3 J$ O
同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
- w' }% Z: ~# \/ Z1 y( @3 [; f
4 W G. M7 O% W
按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.00
" o x2 y" S2 ^" e1 Z; [7 ]
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2