漏洞概要 关注数(233) 关注此漏洞2 o) L0 X0 |3 ]
# S; W/ ^' k; `) k/ r, ]) v a
缺陷编号: WooYun-2012-155698 R5 @- r9 I p' J( y3 i9 V/ Y% q
4 P* G) U# F% O
漏洞标题: 中国建设银行刷人民币漏洞 ; J: v- s1 L' b- r4 W6 n
% T! y& j. k. E5 \3 n! W6 h I相关厂商: 建设银行
: P2 D$ U$ P l! j1 B9 w! N% E2 {1 }& M: e2 |; c4 }" H! X' m4 W
漏洞作者: only_guest) R6 ]* @8 N& G- v, U
; w$ ]$ y3 S4 e, R
提交时间: 2012-12-03
( k5 \0 J; A1 K- `$ H' y+ t/ l' V( P) i. Z6 t
漏洞类型: 设计缺陷/逻辑错误 L! ]; Y5 m V
3 a, ?! i' j3 z6 `2 b
危害等级: 高5 K$ @) M2 C, b7 m
$ ]- u! z+ {! g; ^; a' Q漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理
! ?: V ]6 H8 {5 {' B( x0 e' E
2 l, p6 b; H; ?$ u漏洞来源: http://www.wooyun.org2 S6 e3 J8 |8 s/ q
/ Y: M/ i* R$ o( hTags标签: 无
) K1 J1 V- z$ P$ L
* t* b9 l7 ~: q7 R) I7 W3 }4 h1 P/ c. S) G8 C, k
, ~) L) T1 R9 o5 e9 k6 B20人收藏收藏
8 G) I1 T4 O2 Z r: B分享漏洞:
9 y; j W: I4 Z4 X9 S35' f1 ^% n; z! e5 u; U+ A
8 j+ M1 E$ \. |% q5 ~--------------------------------------------------------------------------------" J; M* N& K9 a8 X" h9 v
& N0 l# L/ B3 D+ U漏洞详情3 o; q& P; [$ r5 O/ ^7 x
( Z9 U; \3 W1 P6 L9 ^3 ^. C: T6 g披露状态:8 m: ?6 u3 r( d4 u
" K- o0 E0 c) A" y, j; Y& }# n" U# b! n) D6 p: N
6 G1 p% ?9 L- b0 z
2012-12-03: 细节已通知厂商并且等待厂商处理中, i8 k$ _; H, T% g: }( y
2012-12-04: 厂商已经确认,细节仅向厂商公开, L2 V8 ~6 I" r* t& ?- a2 I
+ [9 ~1 [+ [1 G+ H% l) a# j: z
8 T" c1 {/ s3 b6 e9 V4 h: }3 i. y; M简要描述:
0 `. z$ |. n! s& |& \) m. g
" h* m3 L( @6 \: z/ Y5 m偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
7 y( y9 A) d% `/ J7 t0 Z0 S3 z 测试用的.你们收回去就是了.我是良民.% P+ e: a/ {% _2 J. `+ | V0 K
- X$ }, H4 w" M: K1 Q
漏洞hash:47b3d87350e20095c8f314b7b6405711
* T* x% i) o- X7 p4 r0 l6 L! a5 u8 r
版权声明:转载请注明来源 only_guest@乌云1 d; H6 `2 x6 E/ E1 W' e. y6 v6 U9 q
$ }8 a& |9 ^% U% e' w& i& Y--------------------------------------------------------------------------------9 W) u7 y' C f3 v
" r3 M( C6 J, M' H' n6 D# Q漏洞回应
/ j* X6 C2 ]. V3 W6 ?1 E9 G( I" J2 R, `6 m1 D
厂商回应:
- D, j- o" n) ?% Z! @2 T$ g7 a- \# I7 W, `1 W8 F8 K
危害等级:高
. D; u4 C' F8 X P" E' G6 t3 J4 N
漏洞Rank:12 ) `1 L1 G; Z" l2 H7 `7 Q
Z& A1 t6 g [) V0 E
确认时间:2012-12-04* @6 W) H( _! P: c/ q) v2 B' E( A
% Y( P5 ]! m2 z ]; Q0 G& Y. m2 u厂商回复:
# ]$ T- [- {. ]8 B0 F! m, i7 {, L5 `
CNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。* n/ l. ?( Z* G l
7 a- z6 ?6 E# V1 D
同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
* L. \' R+ r. p) s6 k
2 r! y- M6 \$ M- ?' ^按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.009 \' F; b. b! }8 z h& e) `; f
|