漏洞概要 关注数(233) 关注此漏洞- b( Q+ @* K* P5 i4 d
/ N1 J+ u3 r: a. [. r+ k
缺陷编号: WooYun-2012-15569; ~: {0 I& r/ h" |2 l' I- v
4 o2 }# V! W. |; x' d) U漏洞标题: 中国建设银行刷人民币漏洞
# e) n2 P9 A7 n5 h# b) c
- B% {! d/ T, B相关厂商: 建设银行
6 ?8 V1 f0 n: S% _3 t0 U: p* c5 ?7 @. w; m! d
漏洞作者: only_guest V9 e4 [- }: m3 E0 _9 K1 n) M
( N6 p( d3 v8 h0 ]& w1 K' d/ y% U5 `提交时间: 2012-12-03- @- @9 T. t9 D
4 P9 Q: v* F. h9 y! a漏洞类型: 设计缺陷/逻辑错误
w0 m) s- _2 e; A( l3 a P6 w$ \9 s( x' q3 S
危害等级: 高' o) ]2 v2 H4 k
- ^. p/ H7 `( Y) A j- e# O. G
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理 $ f- @" v% q" m
2 d! Q4 C: [' C A3 J漏洞来源: http://www.wooyun.org
& U2 A. s) _% X+ L+ I/ |2 p& f
/ X4 K" S7 Q) t* C! K" E4 WTags标签: 无
' n3 Z! _( \2 i% F5 m$ G: U s: ~! q" U$ F9 Y( D
: s$ h) u3 S B8 g- E) \8 q) g7 F) F/ y6 P
, E' o' Z q E
20人收藏收藏
- r: T( T' Q/ T. j9 O. r: M* h分享漏洞:: ^9 d2 K5 u$ C1 [- W
358 \0 j* P5 h$ \+ G+ G7 s6 d% F
2 u/ \" }0 @7 b. f0 W0 l3 g
--------------------------------------------------------------------------------: \ F* ~& ]( \- z3 t3 c9 z! L
, A0 V0 Z: S1 C6 n
漏洞详情 M4 k, I3 j3 V+ m; V
! a7 j4 X" ]1 z: C. F- D. r: m披露状态:! k( y* i3 v* c3 W4 f
; a* r7 e# }) T; s# x9 p4 H/ M( W. y" Q% U
* H4 [4 W4 j! M. l. K9 w6 V2012-12-03: 细节已通知厂商并且等待厂商处理中0 \( s7 \/ x1 ^% B3 T
2012-12-04: 厂商已经确认,细节仅向厂商公开$ N0 s2 F! M1 U2 `1 H
' G# H$ e E: b; f5 K! O9 }" ]/ O3 F
$ {; V* z2 j( U& s& n简要描述:
! v/ F0 u: E# a8 J* e4 ^" X" A+ C* x9 f6 y! J- e. Q1 D- b
偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
) n+ z6 d+ j2 @8 x( H3 S$ z* k3 \ 测试用的.你们收回去就是了.我是良民.# L* l0 u2 `. L5 X d8 @) i- {- w
' M( ]4 r' g$ R' d漏洞hash:47b3d87350e20095c8f314b7b6405711
8 C% I" Q( g5 C6 ^
* I' C7 E( `0 [% i版权声明:转载请注明来源 only_guest@乌云$ t0 p+ ~4 L, X7 L6 \/ ?
/ M$ {% i8 K4 z
--------------------------------------------------------------------------------
0 A; o" |/ c" `1 B# e$ R
" w* O, l6 ~* P. j漏洞回应3 S8 e5 z( e, y% T2 Y8 j4 R4 q
5 g9 \# T Q3 E# t6 z! {5 G厂商回应:
9 m+ F1 t) k6 Y1 q' R M# m
: ~ B& {& H0 p% h+ f危害等级:高
5 N4 Z# b# m) Q* {% z
+ P% Q4 g# x2 ]$ y漏洞Rank:12 6 J4 a4 y) }* c; g F" I( h( \0 U: q
3 p. y) ]/ L1 L. u$ J( p( ^+ H) l确认时间:2012-12-04# _8 s r! S. s
$ j \$ Z2 O: s! ~* W% _
厂商回复:
6 t/ f q% p% R, |* F$ H
: F5 _ q$ E$ W# wCNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。
9 P# y$ E. e& J6 M# F4 i- i
5 C, P3 @) A2 i$ O同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
7 n$ V; h, r. m! S$ _ 5 v, p$ o8 N( O
按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.00
! e! r" a% Z3 c0 D4 q3 j- f5 N, M* Z |
发表于 2012-12-4 22:29:23
收藏
支持
反对