建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞

缺陷编号： WooYun-2012-15569
* p+ |7 V7 v- C3 o
漏洞标题： 中国建设银行刷人民币漏洞
" g; t. W' Y5 E3 H" k5 \
相关厂商： 建设银行
6 R0 |' |7 E, g- M5 ^
漏洞作者： only_guest
/ T/ K% l% P: L7 y( h
- m/ M: S+ ?# L+ |  V提交时间： 2012-12-03
, W( o. g8 b% o& E0 i. _
8 H; i% b, q9 N2 C2 Z1 X漏洞类型： 设计缺陷/逻辑错误

危害等级： 高
* ~$ y2 K: a4 [" d. h
$ {5 T$ W. @! e7 f漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org
6 `& J) ~7 I  i8 }+ |/ g
1 J4 r2 r; i4 p4 R- }Tags标签： 无

6 s& D$ t$ I$ z
( x1 @9 n: r1 Z# F0 _; W
3 p! E& K8 |- R- T3 o20人收藏收藏
' A1 H; z2 }+ `! p0 f1 E$ y# m分享漏洞：
. z3 S8 M& K5 u* B* j) D! \35

--------------------------------------------------------------------------------

. w5 w$ o4 Y7 a* G2 W* `7 a: E+ b3 F漏洞详情

披露状态：


( A. F8 u9 q3 K3 [5 [% q
2 g  \& V! H0 s& @2012-12-03： 细节已通知厂商并且等待厂商处理中
" w+ u' |' `% `; n/ [) O4 I& k+ D; T+ M2012-12-04： 厂商已经确认，细节仅向厂商公开

9 x1 U) F$ [; I7 r! d  e+ O: m8 \6 r
简要描述：

偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
8 {; f, w+ S9 C# C. J( j8 G 测试用的.你们收回去就是了.我是良民.
# X+ O$ T& k4 H0 m% O( k
漏洞hash：47b3d87350e20095c8f314b7b6405711
. I( K, L. [) O
版权声明：转载请注明来源 only_guest@乌云
# c* l) F- ^9 I) A; B3 V
--------------------------------------------------------------------------------
4 B. H- V& F3 C) R  x
$ B- N( C, `3 Q- C% k! j漏洞回应

厂商回应：

: L' \" n; u& m' w3 ?7 e- W7 T危害等级：高

漏洞Rank：12

确认时间：2012-12-04
! N) f4 r! L5 Y
厂商回复：
0 |; M5 w7 v" c3 Y
CNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。

; l2 W. e; [5 I( o# U/ O  l同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。

3 [0 s' i/ z% y' t按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00