漏洞概要 关注数(233) 关注此漏洞
6 N& A: Y2 G$ }+ c( ?' Y6 k5 T3 |+ `! ~3 E/ E1 o
缺陷编号: WooYun-2012-15569+ [0 }7 u! d% ~, w
4 w8 S; j6 l) R: R, ?. \- n, S漏洞标题: 中国建设银行刷人民币漏洞 $ J) I# [* F* |* b/ I( f, J
" b" \( W5 o" z" a) s相关厂商: 建设银行' g! C' T3 g, }4 \( U, i ?
1 b% I+ k) F1 Z6 Y; J/ S漏洞作者: only_guest
! A1 C0 `: J j8 i2 I0 E$ R/ G; ~. W0 B @6 d
提交时间: 2012-12-03
6 c, B! G( \: r& i0 u3 ^. C
' m, t6 ]) s. {; i7 t漏洞类型: 设计缺陷/逻辑错误
) ]% }3 _1 ]: ~$ {* s# e0 Z T }( P% y
危害等级: 高
- z2 _9 |& D& A: u
0 s9 h8 b: F, V. z0 u6 H漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理 . K4 v( z& k* w# E* n
! i0 C: a k! b3 p/ |' l
漏洞来源: http://www.wooyun.org
+ [2 N2 q; m% ^! r6 D, W9 B
. ~* N- Z8 ?+ @) _6 H/ a% QTags标签: 无
+ i6 {- Y7 C% l, V' u. c% z
( {8 c$ @5 y7 x$ B% [9 s+ H6 O) L8 V2 ~2 n/ o6 k7 Y+ G5 R L
% k7 H, Z4 b6 U7 ?20人收藏收藏
U6 T6 A( n! R @* E* L分享漏洞:2 L* d0 _- v+ T/ V
35$ m. L! _7 ^( F% X$ H- X" m
8 F; y; n2 j' H; L* H) d
--------------------------------------------------------------------------------) o; v6 ^$ ]( J! T" k8 M
# l5 {" ?4 F# ^% x3 j
漏洞详情
( g7 e# u+ r4 ^, y6 X( B8 E9 {' ` Z( L! v4 s
披露状态:
2 M: @' a: a0 p+ q
$ Q% {0 @: a$ M7 B& [0 e3 G# V# M5 E# A6 z1 n
9 _ M1 B$ r) m# h
2012-12-03: 细节已通知厂商并且等待厂商处理中
2 M0 d- f9 C. P2012-12-04: 厂商已经确认,细节仅向厂商公开
$ I. R) Y; d* w; j& b8 M" F% r; C2 G; d* X: b
% a; H. B; ^- a) ~, ~简要描述:
$ O, s4 C# q" A" I9 n& ?
, ], d/ I( z. ^: ?偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...! N- g6 c# [: H: |
测试用的.你们收回去就是了.我是良民.! m7 r. M" Q4 m
# r% r. v) l% P; d# f9 U
漏洞hash:47b3d87350e20095c8f314b7b6405711
$ ]0 {: r! X! E) i& ^6 h- C8 i* O# Z
8 O" t6 a5 l. ^. N5 z! @9 t% v版权声明:转载请注明来源 only_guest@乌云
9 H9 x+ C2 }4 u* J3 F
9 j' B) l4 v0 ]" i# a ?- P+ P6 u" b ^--------------------------------------------------------------------------------( h9 P6 X. w4 b, p
7 B/ Z6 w* F0 i: G# A; D
漏洞回应
" s5 i1 d) s4 B) x! t, E+ l
% `: K+ _- {( X- p$ V3 M厂商回应:" u8 V! `2 e* z; [2 |
/ v6 ^: T. [3 K
危害等级:高: l9 g+ d# o/ ?0 I* B- h
6 c2 c' o$ f* I) V
漏洞Rank:12 - h2 ]" n% _; Q9 x
5 P, @) G% P5 m. A- C* Y0 }确认时间:2012-12-04
( f* x* x! q) `* G% Q$ c* R
" f3 J1 G( t. q5 ~# N- d厂商回复:
+ H v3 i1 D2 x. z8 v/ l8 a- `
( q2 g7 k0 R; iCNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。, Y6 w/ M# I" h n9 I' S
* L( Y8 v' l+ s同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
* M6 {0 ?/ @" |6 i" N
8 Z5 R! G) @- e& H按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.00
2 e3 t/ j( H; \$ z3 z |