中国网络渗透测试联盟

标题: 建设银行任意取钱漏洞 [打印本页]
作者: admin    时间: 2012-12-4 22:29
标题: 建设银行任意取钱漏洞
漏洞概要 关注数(233) 关注此漏洞
9 V1 H7 H9 E  F8 b- t+ x/ [' h
. M5 F; O( n  d缺陷编号: WooYun-2012-15569
) Y" w! l& G0 d5 |  ?/ c
4 V+ z( Z( f6 z, ~" e漏洞标题: 中国建设银行刷人民币漏洞
) v* s3 C5 W/ {* ?1 {; D1 ]$ c" B$ I6 U& a" s& r& d4 p
相关厂商: 建设银行
' S. U( J3 c0 r* Z- _6 P
1 T% V9 M" ]4 C: R( J8 V. R漏洞作者: only_guest- c( a2 g% I# t. R: ]2 K; ~% U
: T3 g1 J/ h3 g! Y
提交时间: 2012-12-03
' [' K* T  Z$ @: f  k- ^1 ?8 Z8 \! c
漏洞类型: 设计缺陷/逻辑错误
. H! b' T; ?/ o, C# n- l' ?+ X
: `0 n# n6 t# m危害等级: 高
1 Q. L  L8 M7 L4 j: B+ S& d/ s- e5 I# d2 u' X. }
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理 - }/ N! y- X0 F, ^
9 B$ u" p) e, K; x
漏洞来源: http://www.wooyun.org
5 T7 T/ n( T! p9 I2 l' ]) e+ i4 y. g: o
Tags标签: 无 : M6 S5 R& m6 Y- I  ^! \) D7 U
2 l% t7 t( }: h! ?
& ]0 B7 _* m& R/ ~1 Q" i

( D6 c8 p- f$ i, e. S( V20人收藏收藏 3 y# K8 t1 a4 d
分享漏洞:
: h+ z" t) R0 `2 Q, ]* `# T356 F  y7 E3 C! X7 f
/ q) x& M' L$ o; X! P
--------------------------------------------------------------------------------
$ Y+ [" B4 r+ \* |1 k. F2 R& M% `3 P) _" c  ]& L% s) z0 p& _
漏洞详情
4 v- S' a4 f6 @# g7 C6 n8 Q0 V9 @# _% y1 K$ ^) e; x8 s( @
披露状态:1 R) M( P' D. t) `% D' b

. M! W1 A  {$ P9 P! |, J' |1 g7 H
* @; ?. M! M* l  R' }) ^
2012-12-03: 细节已通知厂商并且等待厂商处理中; O4 U, E! m0 k# @9 R6 C
2012-12-04: 厂商已经确认,细节仅向厂商公开
5 m3 ^$ L# _0 Y! B' A/ s$ C
7 G+ {- `  x7 \" W( N9 o% z( `0 K1 C8 r) T- f0 r" n
简要描述:" O0 r4 z3 [4 g
& W  W* E3 c2 |0 C) C( B; m
偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...9 B5 V, b/ x0 l8 Y/ J# P) P
测试用的.你们收回去就是了.我是良民.  k7 g9 e+ l$ U

$ z7 K* R3 h- x漏洞hash:47b3d87350e20095c8f314b7b6405711* W/ n- _8 t  P& @

9 V8 k' w: A3 b2 ?版权声明:转载请注明来源 only_guest@乌云$ e3 Q( P* y# [# N( P8 b
+ j- s1 ~5 ^; H% \' S4 _
--------------------------------------------------------------------------------
+ ^+ c+ p9 }/ i  L+ t4 w" [9 i7 }9 |" [6 Q5 F( {
漏洞回应
# E" e4 i) t9 b* r$ b( C4 [5 s( _$ ~- F3 d0 F; @
厂商回应:7 _5 `! y8 O+ K6 ?
# R- ^& \2 K3 y2 _6 T* e5 o
危害等级:高
: I7 ~& x) }+ D4 c. ~6 f8 ]2 _" C$ b
漏洞Rank:12
# H. f- \9 S, T, p" |' W) ]7 C$ m  w& {. @
确认时间:2012-12-04
2 @+ {/ F- W4 C5 A7 o4 H0 f  i1 T6 y
厂商回复:& ^% t9 G( x7 X4 F

7 T9 ]6 F2 v" I% p5 G9 p1 kCNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。
$ F4 c3 `, T) i' G, j
8 h1 S# \; A  A9 a) ?1 |同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
' b/ Y; T. ~! U! }; y- e
, f( d& u! W/ F- E4 l; }按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.00
! l, D& I. @3 v2 Q



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2