漏洞概要 关注数(233) 关注此漏洞! ^ a; B; t# y# k; e1 v- U& C
3 d' t" t5 Z; C缺陷编号: WooYun-2012-15569: {4 u3 [% m6 n! H
: F& w/ J4 P# F" b) ]漏洞标题: 中国建设银行刷人民币漏洞 3 ?6 m! G9 L# t& n9 L/ W
( C: {" z q i% F! y& q; l
相关厂商: 建设银行! }; _* k2 x% f7 Q$ x* f! G
9 q- @" x4 e/ e" g; }8 a/ V$ @# [% w
漏洞作者: only_guest( }6 A; ?+ `. f; e' _
; a8 ^* v+ t: D0 G* W T
提交时间: 2012-12-038 \: Y# w& `/ Y7 V" L! h
, Y. }5 X( e* h& x漏洞类型: 设计缺陷/逻辑错误
; g8 ]( w V/ l- I) p$ x
2 |( l" W8 c* p* o, H. `5 f6 S危害等级: 高
. B2 o3 M- Y# s" C
- I5 {' x! ^( n漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理
3 g5 J0 G* b1 F& r. }$ ^
$ [3 Y. \. z( K2 r4 p" d+ ~, W漏洞来源: http://www.wooyun.org1 i. f* X# |/ d$ C" @( h
" v( X6 u$ s# r6 ATags标签: 无
' C& @- g+ a5 X' c& g
j4 e) {# Y, C
; X x* s7 m' \$ M" T5 ~% r1 z1 l
20人收藏收藏
$ V* L8 V/ F' H- f/ {4 _; `分享漏洞:. G; Z! Q" x" u& ]1 k; G& h3 q7 A
350 g+ ^- F/ C7 \' F
t! O/ Q, ^2 W
--------------------------------------------------------------------------------+ D2 ~. m2 M& T, w
" N5 a1 {4 _( V+ A3 W漏洞详情
. {) H( f5 F4 @' B8 a
; _) E& | a; K& J: o$ f披露状态:
" u0 |8 m8 ?) B3 U+ w$ F! G: o& J, m% s/ R
1 q8 k4 M6 Y$ R! y! n8 Z
4 d! ]7 b+ Y. }0 ~$ w+ @. D2012-12-03: 细节已通知厂商并且等待厂商处理中
4 H' I5 H: c/ J7 q6 s! W2012-12-04: 厂商已经确认,细节仅向厂商公开4 y# a- m# ]+ L% i9 ~' W8 a
% {4 S% C& ~: v5 j# `
- u8 |, b; m0 c. ` U; S
简要描述:
! E: w! k4 y/ g* E; M w* _0 X6 J. |. `* w' u. f) P) e
偶然测试发现.就让我再做次标题党吧,我就刷了90块钱... o& k1 c1 ?5 W3 C
测试用的.你们收回去就是了.我是良民.
( r) f! w! T# q S/ L6 w9 n
/ N( Y. s& u q, r& m8 K漏洞hash:47b3d87350e20095c8f314b7b6405711% {1 C: ~9 e5 G4 Q" X
; u" N, S3 \: D* \7 I4 e9 K版权声明:转载请注明来源 only_guest@乌云
4 y3 h& h( @1 S! w! ]
/ f) ?" z0 e- ^, `# Y--------------------------------------------------------------------------------
* H. C+ v- J8 p- e2 j* x$ z* `$ x
漏洞回应. Q& n; l, x; e% S# t1 T
3 S" G2 t7 E0 U6 m* Z# n厂商回应:
" u: d' B5 h- w$ g
! n9 A4 g$ c0 c, X危害等级:高# F* ^; {7 v9 C# ~# W2 E# }
' ]1 e* {2 e9 w; k* _8 Q* \( ~! A
漏洞Rank:12 7 g' W5 w; Z$ ~# z% f% U
: Z% w* A8 P& e9 @$ d g4 M" K" Q6 l确认时间:2012-12-04+ Q2 ?4 E3 t" }3 v" r' _( d( Q' U
" p$ r) Y) y- ~. v' z
厂商回复:
$ _9 ]* F5 ~. n7 l8 O6 O1 j
" `4 X0 S) D1 `) ]# HCNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。6 W* ^4 D. o7 \& }0 ~
# ~3 W& |# M% s) z% M( v3 @同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
6 n9 x( h/ n; U0 ~6 v
: ]( n$ G- Y% d3 u按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.00: s9 y! O3 c7 E5 R. g; X: S
|