找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2329|回复: 0
打印 上一主题 下一主题

建设银行任意取钱漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-12-4 22:29:23 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
漏洞概要 关注数(233) 关注此漏洞8 w; M, S- |, N" B% B4 d

1 a" `" ~, f) F" @4 O( u( i2 `" X) X缺陷编号: WooYun-2012-155696 u) Q! h) S+ K4 x5 }

% E8 s* y3 Z! ?漏洞标题: 中国建设银行刷人民币漏洞 ; g9 v6 h; O7 i. e) q6 J/ p5 F' J
9 N1 C  h% w1 c. r- s) P- r+ Z! N
相关厂商: 建设银行8 m; Y, \5 j$ O
4 \" c; o! W# w3 @  s
漏洞作者: only_guest4 y- c9 p' J- r) y  y

- c. L5 m0 I) D# k5 W3 T$ s提交时间: 2012-12-03+ o6 ^2 c( ~0 H: \4 ]. X0 P( R

0 x/ W: a* m2 l4 ^漏洞类型: 设计缺陷/逻辑错误  h, ~* I! N/ c7 Z4 K& e

* H) T6 u1 ^" R3 `7 W3 f危害等级: 高* E& D$ W' \& d- h

7 g9 I0 m! l; D, I- m漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理
5 e3 x) Y: }& z( ]3 i/ X, {9 J4 y- z8 `0 _7 Z
漏洞来源: http://www.wooyun.org5 W2 u* v/ y- z6 z& V
% u+ _+ D5 ]# o2 T% v7 r
Tags标签: 无 - d' M1 d# \9 W; ?5 O' H6 e
' [+ u( ?& F7 k" ]$ f" m6 w
# }$ T6 v' E/ ]% W7 Z0 s# V
8 p5 n) g' T8 B* Q" p- t
20人收藏收藏 ; R4 W/ m# G, p4 S( a5 q- d& t$ X
分享漏洞:
0 G, \, f9 E1 R: ~35# y' u6 w( l) {* D3 G  \0 ?
- P, t4 o! T+ N3 S8 z' p
--------------------------------------------------------------------------------1 a# P# Z+ n- r" y6 w1 o# r
7 {" F. n5 R( n5 v
漏洞详情4 ?* |% I0 `$ a  ?1 `4 s

( s9 Z' p: C" O9 g* k9 L" w披露状态:
. j1 `+ g# Q) K( m+ r1 |7 `1 P; t5 x' X1 V
' m. F4 ^  B+ k5 z6 M

! S- @' ?! I& v# w9 B. u( j2012-12-03: 细节已通知厂商并且等待厂商处理中
: w9 x* d7 G6 t0 p% M7 t2012-12-04: 厂商已经确认,细节仅向厂商公开$ d0 R# n  k. i( P. X
. _$ u9 H/ ~) o* S+ K( a0 Z) C

0 e. z3 I/ n1 Z3 A简要描述:# Y* j# u5 O  J$ K3 [+ W+ o" H8 d

9 I; E- X4 n$ A/ a偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
' U% }( U  @' i. ^8 b. u: ]- z: }% d 测试用的.你们收回去就是了.我是良民., {) q# j" e2 {$ U( Q6 {

7 E; d, j4 @/ z: D漏洞hash:47b3d87350e20095c8f314b7b6405711
* G! L) O) N: v; g2 X
3 Q% \& V, q, `版权声明:转载请注明来源 only_guest@乌云) M+ s: J' ~! J( ?' E
3 C+ J& C( S. ]6 V+ B; s  m; W
--------------------------------------------------------------------------------7 y0 t# x+ q' D4 W
+ a1 e# H4 F: A" S/ d; Q
漏洞回应5 d6 w6 d9 o' h/ d8 X

- i- e9 f& c+ L+ @! |9 \厂商回应:& m8 o0 c) i% h' D6 d2 o/ G

6 v) s! O. B8 {$ G危害等级:高. N( n/ O0 Q0 Z: `

# |# W& H- I$ N9 J漏洞Rank:12
4 P0 D1 w, l* y0 z, Y
" Y* F7 n7 o8 \8 c% O; K确认时间:2012-12-048 i6 a$ s  u9 o  D/ |9 ~; R  `

: O# W% x# H4 U: r6 M! W8 Q厂商回复:1 s; H# F! M1 F: u7 o

$ X- o& X( w3 ~& \% H( P8 g+ ?4 u2 r! G  QCNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。- y/ `( x2 ]' u, L7 [0 j1 m& E& f! u
2 I3 @$ ^1 D/ S- ^
同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
! F1 n1 I& l* C1 Z3 m$ x; h* v
5 P' |- j; m/ Q4 {# M# A0 C/ }) J按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.00+ {5 [3 L3 h, N% I8 {
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表