漏洞概要 关注数(233) 关注此漏洞8 V' N: A+ c5 E7 Z7 w5 H% D( W
. U0 @4 m! v6 Y% d* h
缺陷编号: WooYun-2012-15569
# H/ _! S+ w. D; m6 S$ I
6 U0 @7 q0 a* I$ ^9 G, d漏洞标题: 中国建设银行刷人民币漏洞 ; o q9 b+ f7 t" H7 T! e
+ x" F: N. J+ \, d, n
相关厂商: 建设银行
I6 ^* U. M* d* s& t" |" `+ _9 q! b& y I1 }$ O9 Q" a
漏洞作者: only_guest6 Y$ ?( P5 I |& V( @% j
: S5 Q, A! k$ O u+ r
提交时间: 2012-12-031 b" ?% I) q) i6 _ N0 {( |
/ V, z- [8 t7 ]2 F) J! N) C- y漏洞类型: 设计缺陷/逻辑错误( c% c8 X! R: q+ _$ e, N$ Z( t7 h
& v& |$ {' y' k( c/ u危害等级: 高& U$ _' e$ P( M. K; ?
. g( M! L$ D( q漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理 & \. K1 Y; O0 @. f- ~( r; D2 q
8 g% Y, B |2 f% {) y5 K2 B! R
漏洞来源: http://www.wooyun.org0 g/ F# |: e0 s H p
8 d( w+ \7 E e: m0 sTags标签: 无
: o n( \3 s" ^1 p/ l9 ]& y
$ E: S1 l0 M$ ]5 G" I/ v; }
# n( O$ D: e* S4 b3 ?1 c: m1 Q& U' Z% f/ Y3 S( J# {
20人收藏收藏
* o; {) C% e2 u/ N2 W8 M+ N @+ Y分享漏洞:: C! D. N/ ]5 N1 J }- H' Y: Y6 k3 q
35
4 q5 r% V7 a, J, _8 o9 k
8 p( E5 j% P9 p& f--------------------------------------------------------------------------------2 `7 x- Q3 g9 p% s7 g/ }
7 R; M b+ ?) V2 V9 D漏洞详情6 x. x. Y' ` o) J4 k( q
: C$ `, q0 J i3 O, p
披露状态:2 @2 ~' }7 N' Y
# K2 @) l) j2 [! g
0 s; w/ J1 W6 Y% L4 Y& ]/ k
9 p5 ~2 _& i/ e2012-12-03: 细节已通知厂商并且等待厂商处理中
) X+ W) S. t0 l8 F. ^: }8 I, q2012-12-04: 厂商已经确认,细节仅向厂商公开7 b3 H& y5 G& X* L, m& [
V4 q1 P. R( r% j2 M4 p) y5 R7 r' x1 R: B+ U# p; b) g) s) w
简要描述:
5 ^" Y) O; ]" i. t5 k
" R/ Z: ^0 v2 C+ O% K [( ?$ D偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...1 w' Q- g ?9 s9 i$ ^3 n
测试用的.你们收回去就是了.我是良民.2 Y7 \( B0 h! ^( }$ k4 A
$ o6 X; o/ n2 i. X- j/ C
漏洞hash:47b3d87350e20095c8f314b7b6405711# w9 m2 d5 s6 A, u" \1 o8 r& Z8 ?3 h
: t( y- G" g8 ?5 X- P版权声明:转载请注明来源 only_guest@乌云+ Q! [6 t& q! `7 _3 ?! y
# G0 `$ I$ t, \4 Z( {--------------------------------------------------------------------------------% F& R) _: m5 e9 u
/ M& u$ ]. Z% x$ W) w
漏洞回应
( ?5 n4 D |+ F( i
( D+ l! m" e( T! H厂商回应:
$ x& H3 L& c* ^* N! S
( {3 Z( g# Z2 _" I; Z4 G危害等级:高
1 n- l% n) Z4 J8 T' o+ H8 |& O/ T' m3 K7 Q9 U4 u
漏洞Rank:12 0 y- n2 j1 x9 W0 P" t0 \
3 L: v |( `9 R/ \确认时间:2012-12-04
( _' g" Q h. }: A. o6 D" s8 `3 ]9 C1 u8 l
厂商回复:" |# v0 V3 r3 o% k
6 o+ k6 j+ M- t" `/ J' d0 ^
CNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。
+ e8 j7 O3 u4 T6 Z" b- Z/ K
9 M6 ?! B5 r, X2 @3 H同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
. G) G7 w; u0 E5 V& @; x 4 U+ q/ X- ?0 s, e8 w6 R- i
按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.00" I1 J* V2 _3 n, o7 }" W7 ^( p! }
|