找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2327|回复: 0
打印 上一主题 下一主题

建设银行任意取钱漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-12-4 22:29:23 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
漏洞概要 关注数(233) 关注此漏洞! U. ^/ i9 O8 f1 L: b

9 C% r! g+ X4 H+ ?$ L0 p缺陷编号: WooYun-2012-155696 ?7 [) `& \6 d+ c, T. l' C+ i+ y+ H

' L: v, Q7 `& X/ l9 }* [漏洞标题: 中国建设银行刷人民币漏洞 " `5 {* \; W+ R$ v
' E- {" e2 t- z% s
相关厂商: 建设银行
& T& m6 }! X" L7 z" F0 k/ \, H7 V2 }8 U. s: f2 j
漏洞作者: only_guest
, O: W+ Y3 k! `; s! J8 b4 i$ B7 _* ~* k' b0 @" T0 P
提交时间: 2012-12-031 ], E# \$ N: u+ ^: ?6 Q
, @+ ]9 S" k2 _0 Z6 I
漏洞类型: 设计缺陷/逻辑错误
5 m: K& I6 c0 \+ L- X$ I$ [4 ]' V6 i7 H7 ^  u1 z/ h
危害等级: 高. W! v# v6 o0 `/ ?
; @% u/ m1 g( }+ J# Z- d7 a% [
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理 ( W( A* A+ K" O1 z  A2 d+ E% I

! u: H5 N( p9 e" k2 R9 m; v+ Z漏洞来源: http://www.wooyun.org
8 x3 s$ K& Z0 j2 i- e; g* t8 g# x& ]0 t% d; F. d+ y
Tags标签: 无
2 O: Z" a+ U% h4 @, V! \5 l- h& l- ~4 T

- x7 X% ?0 `8 U0 v; U
/ F5 m. r* t' s1 @20人收藏收藏 " x- ?/ g( Q" f$ U
分享漏洞:, n' U* G, t7 X) H5 U( W. d
35
0 X* X* J9 t. @- p% f9 `' U5 G( Y) J
--------------------------------------------------------------------------------% T- D- G; k2 v  Z! R7 r4 t! Z0 a/ c

' @: C$ `6 B: [& a漏洞详情
1 H4 o7 l* p; o5 y8 I0 N4 M0 {$ j) \1 F! c, H/ T
披露状态:) x+ b9 b) J. B; u3 j

$ }$ T3 P1 V) a  x0 ]* U& m' A6 r/ d5 ]( }2 ~( `6 s
- l2 f5 {6 j. Z* n5 O+ Z
2012-12-03: 细节已通知厂商并且等待厂商处理中
- d- N0 T/ x" Y* ~; w2012-12-04: 厂商已经确认,细节仅向厂商公开  X, S/ C2 d0 p/ [3 `. F& ^

4 q  ~( E$ U3 ~2 s! N$ q: l5 a" V1 Y8 h* h
简要描述:' j; }) y5 g/ V6 s5 @! {

/ q( N, T6 u- A- f% @偶然测试发现.就让我再做次标题党吧,我就刷了90块钱..." p; x7 g; \2 ^# A- K  g; C0 [
测试用的.你们收回去就是了.我是良民.4 f. `9 z4 Q" x6 U. A( h

- ]8 P) M7 p' P# A2 X$ Q漏洞hash:47b3d87350e20095c8f314b7b6405711
6 t2 y- F  S6 F+ x0 F+ q8 K8 v+ h- y2 x# C* {2 t
版权声明:转载请注明来源 only_guest@乌云
) g& }6 Y% y- m* G
! R- a6 |9 n' {) K' A5 j, ]: _4 a--------------------------------------------------------------------------------
# l: @- \6 ]9 _
( j5 M. V7 M  G' Y( }! @漏洞回应
; Y8 N4 j1 i/ z* ~& s
- r& X: o' ^  i! L( q" i4 c厂商回应:
& s  D9 I7 \- p, _) a) L5 e4 s& Q' X, Q0 n% w
危害等级:高5 J7 {) L# o( ]! K3 b) I. M

7 @% I; j. w: e( s7 o* Q漏洞Rank:12
0 Z8 v) d+ Y& f! {. i
7 j( W# `. B6 l$ z; j确认时间:2012-12-049 E& s/ Q( t+ t6 Z$ s9 f3 J- I$ v

' F2 i2 s( X2 _% K* C" v2 ~厂商回复:! o1 C  S  p& M5 Q
, [+ N2 \* V' o) N+ e% S
CNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。
6 K! Z# K9 K4 P* ~- ]
: ^& Z7 X& K% O5 F8 B" r同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。- k1 x9 W7 P! x" P4 l

$ B8 }& ~# U- ^' @: h% A; e/ m按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.00
# v- K' m  W8 @
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表