中国网络渗透测试联盟

标题: 建设银行任意取钱漏洞 [打印本页]

---

作者: admin    时间: 2012-12-4 22:29
标题: 建设银行任意取钱漏洞
漏洞概要 关注数(233) 关注此漏洞
# N3 c0 n" y" M, z! L9 W
缺陷编号： WooYun-2012-15569
# z; K5 o' L1 j4 G) n- _
漏洞标题： 中国建设银行刷人民币漏洞

相关厂商： 建设银行

' `% P/ J$ L4 X: I' a漏洞作者： only_guest
  R6 {" k7 K0 i0 K! {# ?0 T- ^
提交时间： 2012-12-03
. O* E3 ^# W) Y# h3 [4 {$ L
漏洞类型： 设计缺陷/逻辑错误

危害等级： 高

3 x0 ?, [- l5 I5 h2 n漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org
, j/ d/ E! x5 ?' w, Z3 t* ^% B
  x2 D) L& U( d" ?) X. G1 v0 aTags标签： 无
6 S! r  B2 L0 J8 l
8 E( b# k  N* L
) r2 q+ M9 e, c$ }
( K- Y7 i# g9 g+ u  l# x20人收藏收藏
分享漏洞：
35
" [( c2 o+ c6 r+ N% ?
) c6 M  z5 O( k" \" B% a--------------------------------------------------------------------------------
7 c/ I  f9 g( ]9 K  q$ }9 u& b
* i" p, n( Z; j# u, Q# d" k  U漏洞详情
& b7 ~& t2 o: k4 g' h0 Y' m# ~3 _4 Y
2 H# |0 D+ H# s% n* i披露状态：

) ]4 R  ^! ?3 @8 b' ]0 Y

7 W  g& R% d5 v0 p2012-12-03： 细节已通知厂商并且等待厂商处理中
* C1 C) O* i3 b6 U4 R' l+ s" s7 _2012-12-04： 厂商已经确认，细节仅向厂商公开
* S* P. y# n" I! L

/ Z& O8 ^2 Q2 a. H, i% M简要描述：

偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
3 @% H" T0 g7 @2 d/ d/ x; @$ X 测试用的.你们收回去就是了.我是良民.

漏洞hash：47b3d87350e20095c8f314b7b6405711

版权声明：转载请注明来源 only_guest@乌云
( j# h9 D; Z6 K7 L8 k1 Z
' N# q, y+ I/ a. p--------------------------------------------------------------------------------

漏洞回应
$ c: c# w" s, @; O1 q8 I' |
  f+ N; h6 V% Y' T8 p" _厂商回应：
2 [' y0 q( V& l9 j/ }4 V
, c9 z) r" j' l; t. L危害等级：高
3 Y- W6 U( v1 {7 z. r( G& o
漏洞Rank：12
# M; Z; t2 z7 J# H5 ~2 r& s) u# W% A
确认时间：2012-12-04

  L: u  h' l- r* T厂商回复：
" s# E, ?/ v9 n+ S0 z2 o/ j
" k' Q5 u; I, K% q  `+ ECNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。

0 h/ T7 M9 C7 a9 ~# z! F; t同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。

按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00

---

欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)

Powered by Discuz! X3.2