建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞
/ a; [$ m# q1 n) e
' t" }  Z$ Z; g/ S缺陷编号： WooYun-2012-15569

漏洞标题： 中国建设银行刷人民币漏洞
# R9 L4 o, K5 t! @
相关厂商： 建设银行
* v1 r+ E  U0 x- x
漏洞作者： only_guest
( x+ i2 Y. Q% c) `! i3 }
提交时间： 2012-12-03
- z& h% Z9 r! t( i9 H
漏洞类型： 设计缺陷/逻辑错误
2 B+ _! a4 Q# ?. j! l, x$ o0 E
+ N- h3 C  k( V( R, n) ^- r危害等级： 高
' X% F4 [: j+ H' ?
漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理
$ J  }- }/ f% N* c1 [  s8 p
% C( b3 \9 ?+ I& Q漏洞来源： http://www.wooyun.org

Tags标签： 无

9 J+ D  s# W" `2 w) @2 g9 ~$ d
, [4 U0 R1 A7 Y+ Q2 g# |
& T( W9 x- m( j. \3 ]4 _20人收藏收藏
分享漏洞：
3 a& w0 I0 F- `5 i  D. j35
' x& j6 J3 {/ q
- o: u% C* N  V/ I4 T$ {--------------------------------------------------------------------------------
& S" W6 C$ |  K9 `4 x% {
6 g) I" |2 {( z8 w1 Q漏洞详情
: q1 c9 p8 _( A" J" U
披露状态：

1 ~3 G& ~8 l) a1 j8 H7 J8 m
/ |! _$ c* l0 A! ]
2012-12-03： 细节已通知厂商并且等待厂商处理中
2012-12-04： 厂商已经确认，细节仅向厂商公开

8 h) e$ W/ j3 Q& z8 [, j4 t
简要描述：

偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
3 n/ B1 \/ S) m+ q  j6 ` 测试用的.你们收回去就是了.我是良民.
0 T6 U- N! o8 |) d
漏洞hash：47b3d87350e20095c8f314b7b6405711
; [6 Z3 h$ F; y# _% A
版权声明：转载请注明来源 only_guest@乌云

% w% a6 n' V* @: k--------------------------------------------------------------------------------
6 z* P. E7 S4 O4 N5 Z
漏洞回应

4 e8 g, w' Q' v5 \: H- Q厂商回应：

6 B9 n0 S3 _/ x% g' D1 J危害等级：高

漏洞Rank：12
. B9 Y) R; z9 v  H7 @
确认时间：2012-12-04

' F8 U' d$ a+ t8 K4 |/ w厂商回复：

( E; X$ c/ b* k  n3 VCNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。

$ v8 B) F/ Z* f: v8 b" H同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
  m3 \: s: Q2 ^  {1 \
) M: X1 @/ t6 q# b  @. o: a4 ^6 J8 M  z按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00
2 Y/ m+ M" M3 ~8 ~7 E