中国网络渗透测试联盟

标题: 建设银行任意取钱漏洞 [打印本页]

作者: admin    时间: 2012-12-4 22:29
标题: 建设银行任意取钱漏洞
漏洞概要 关注数(233) 关注此漏洞9 O0 ]# }& o% f

( L; q. k) x& H/ b4 `缺陷编号: WooYun-2012-15569
1 L/ l7 X7 _0 a0 S3 [
+ w$ b6 l! ]$ i0 b6 k漏洞标题: 中国建设银行刷人民币漏洞 ! d* p9 `) d! O/ B
8 D7 [+ b3 |) L' [2 e
相关厂商: 建设银行! y# f0 T! @9 M$ B! \7 ~
% E: \, X3 T5 y
漏洞作者: only_guest( k# a; h. Y- d1 {/ R
# l3 d8 T' ]: y
提交时间: 2012-12-03' S4 C) \1 N& |( C& a
: `$ l, A9 e7 E/ X
漏洞类型: 设计缺陷/逻辑错误
) R% u& ^4 r5 R9 I4 ]' l
2 A0 v. |8 E  R) N  B0 o危害等级: 高
) H! Y# A8 p1 M; |  p1 b: \) x6 [5 j! k
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理 * f5 `" Q( h& ~3 @

2 Y" s& y. _) Y( w9 O: S# w. M7 B漏洞来源: http://www.wooyun.org5 m8 G9 k) Y5 w# i" `" g
5 y3 L0 W! w$ q- n; f$ d3 ~/ }
Tags标签: 无   v$ F5 K9 l6 D0 L, k6 }4 h/ h

% o" J' ~9 a$ i0 y# z
' a% I. g- v3 r9 e' e/ |! P7 X# e0 j# S& d$ z
20人收藏收藏 5 e$ i! B! F( D( A5 W  s* |
分享漏洞:
2 N$ S9 {: I( R4 ^0 ?350 s' j; D& z9 h) k
3 s, I; u5 s; ], t2 X/ B
--------------------------------------------------------------------------------1 v1 r- |5 z8 ?& t3 S) N- Y& x

: f6 o: P( i3 n- h  U漏洞详情! o: x! G# s: Q/ t5 U! R+ u! i1 b6 ]

% @( [7 W7 r9 D; e5 D$ g披露状态:6 J$ k. g+ L$ i% {  ^/ O

, N, }" t8 X9 U7 m$ @2 `& C$ Y" {* E' Y, ^' y- O

* m, l4 X+ F2 m5 l. [3 }# y2012-12-03: 细节已通知厂商并且等待厂商处理中! a! |9 U5 u: J
2012-12-04: 厂商已经确认,细节仅向厂商公开
% ]' m- F) s: Z  {4 H7 Y, Q
9 k! w1 M' I. B  J" |: H7 J2 p5 i7 R; b% e+ P% e: ~) f
简要描述:
% D" r; a5 F4 ?
# L$ V" |1 k8 {6 x4 r偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...7 |- j2 D- J% M. E/ Q$ o2 U
测试用的.你们收回去就是了.我是良民.3 P' S3 t( q, ]* q# A7 v
- q( L% V$ z$ r
漏洞hash:47b3d87350e20095c8f314b7b64057111 ]/ D. c& j2 `" B& \; k

' F/ A" W- D7 z版权声明:转载请注明来源 only_guest@乌云# A0 D% g) v9 t& U/ M8 f
9 H" q) a7 i4 ^" l) t2 o# c4 t4 u
--------------------------------------------------------------------------------; K, S& ~( s2 q; }

# x/ F: {9 P* C$ U漏洞回应
3 @$ j6 t, G# Y! A* ]( P. J( ?) }7 _  ]( }5 b3 F# X! U
厂商回应:
: {  W* Z& }1 I  u6 L* b
7 ~) a+ U+ `6 |& Y危害等级:高% Z/ F* R' a0 Y7 e" I1 h* n
. K4 @( g" }% R3 {2 k
漏洞Rank:12
& m4 H1 M' Y- ], Z! O
+ Y( g+ f" O+ ?& e确认时间:2012-12-04  J/ ]8 Z# Y- H- V* E8 R2 d% l7 P

* _1 R  y7 a( o2 G厂商回复:6 c% H: H4 x0 `* J3 I+ u3 ?* q+ X/ K9 R

. k0 R7 u  k/ b2 CCNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。5 Y& j' v; t) |  N- w; P5 e
- }. _9 h8 T" L* g" Z3 J$ O
同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。- w' }% Z: ~# \/ Z1 y( @3 [; f
4 W  G. M7 O% W
按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.00
" o  x2 y" S2 ^" e1 Z; [7 ]




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2