漏洞概要 关注数(233) 关注此漏洞
( e; v9 y, P* X/ X$ D6 F& R
# [4 F, e1 ?! i0 f: V5 M' R- V# d: E缺陷编号: WooYun-2012-15569
1 u9 Q; z8 S' q1 k) `- a' G
! T' X. U7 f! s6 u3 a) i漏洞标题: 中国建设银行刷人民币漏洞
( ~8 T; I. g1 L; j2 A4 I6 D
8 _8 y' a; s u1 ^1 J* d J% k相关厂商: 建设银行8 \0 q# Z& n& J( l
: {1 E2 I4 p" i- d6 M! J
漏洞作者: only_guest. i* ~8 j: }& `
3 K/ I( o; j" w3 p1 Z0 W提交时间: 2012-12-03- P) k( W* f+ p5 H6 A9 k9 Y. E: u" s
5 W+ ~% ?! {' F1 H& z2 N2 [; }/ M漏洞类型: 设计缺陷/逻辑错误3 G+ o7 N3 A1 ]$ n
8 f1 q1 x$ Z1 s. C6 l/ U& [! A) X危害等级: 高
: Z3 V6 V6 u. o
0 a. l+ p( }. p漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理 0 H: a5 x5 j+ }3 ~# a) ?- r
4 E. G/ ]" g& G. b1 X) x& `1 b8 }2 G
漏洞来源: http://www.wooyun.org$ D% O% h: x: [2 O. n& _
, n% y4 ^) D% g/ A- g. G+ R* mTags标签: 无 ) S/ c" Y0 n8 _. K+ s
' {/ x9 G0 K( }# s* a. s+ N
7 H$ V* d ~2 K2 R9 D
g4 L- k9 Z! [* s1 |' H: \" C: z20人收藏收藏 % n. @4 p9 y0 m) q0 I
分享漏洞:
2 u( P% o0 o+ y3 ?! w35
9 E$ ? W6 ?- `( W7 Z
/ D$ P# z: W& J: ]--------------------------------------------------------------------------------
5 N! z+ W3 ?, J, g I0 {+ a! k$ r4 x
2 N" {* w4 K. j/ G& o: v6 J漏洞详情1 t0 k% L; ~! r2 h) v
8 _7 |6 T1 I: w; I7 l F2 Y; A& g披露状态: b6 _/ W$ Q. T5 w
) a) G5 T9 b) c. k
( f3 J9 J% y1 ~& q' o9 \, c
0 a' H% f: U+ i6 I1 V2012-12-03: 细节已通知厂商并且等待厂商处理中
9 f/ P. G; H* a; h# ~+ P2012-12-04: 厂商已经确认,细节仅向厂商公开/ { D$ P$ @- S& Y Y( ~
0 b0 U4 |2 y2 I5 S, R9 X% W4 T. F! Z ^9 B" S- x& B( G3 n
简要描述:
+ Z/ n- V% Y* b5 e
1 T+ i; j3 T9 a+ ~偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
9 h6 K+ d0 g8 r, A8 v7 i6 b7 _ 测试用的.你们收回去就是了.我是良民.2 `7 J7 [8 ~& v- q0 n
0 s; W) y$ ], l2 T a( _1 ~9 b
漏洞hash:47b3d87350e20095c8f314b7b6405711/ J6 B/ N7 M) K0 `& x. p
# o- X+ C" l, d7 d7 z' b2 ?! q
版权声明:转载请注明来源 only_guest@乌云
7 @9 @/ p: L/ f, j; L0 ?% V8 Y' h2 r3 p" z* P
--------------------------------------------------------------------------------4 h5 Y) ]0 J, J' A* F! m
5 n' d/ K& B1 T- J2 g0 g6 z
漏洞回应
/ `5 z$ b1 L8 u6 t. ]5 N. g0 Z1 ^1 {5 A) e# b
厂商回应:& J3 |6 \6 n8 ~
' b% v4 L% z8 u2 s$ Y危害等级:高6 _' ?) G7 o4 q8 H8 V- G
& w+ u7 C# B$ b# e$ F4 t4 S3 ^
漏洞Rank:12 - v; O8 D4 U5 m+ o) V9 [
9 K" d- `8 W) N% e" n+ m3 b$ ?
确认时间:2012-12-04
% U0 e" ?% u+ l5 ~1 J% Z1 b& J( b4 f( J# H
厂商回复:5 r1 Q6 [* u- C0 L
: J1 B& I! i! G1 ^; s+ O
CNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。
; ^9 G' D3 N4 R2 J1 N8 C
9 ^! `" M( U3 x5 m/ Y2 a* r同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。" D3 u. {. n T* h/ V/ P# ?
* w) S; O9 l% f1 Q按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.00
4 k# b2 w, a% o* ~8 V- ? |