建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞
- v6 I+ j: A9 O- {3 [* w
8 r% g9 i) z" z* p- ~' Y) E: l缺陷编号： WooYun-2012-15569
0 ?% T. b" b- f3 I: [
漏洞标题： 中国建设银行刷人民币漏洞

! S  O/ b+ s- H$ ?- @, [4 b, D相关厂商： 建设银行

漏洞作者： only_guest
7 n$ d5 h7 E- m
& ^0 p# t* s9 E2 T* `1 q/ ~  x提交时间： 2012-12-03
& F' M, Z( l( Y# Q6 I' Y
! O  d0 Y- A; k( W漏洞类型： 设计缺陷/逻辑错误
* X6 l) ^& [& ?& M
# ?& t& G- w7 O$ X+ Q3 Y危害等级： 高
. |8 E# E- y# y* B4 X7 X3 M) }& I
( F! _9 r7 @( N. e5 [5 j漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理
; [& |' W/ V0 P3 I0 l+ U
& i% H/ H. O$ \$ G% f9 K漏洞来源： http://www.wooyun.org
- v' p' t& i( X3 j
5 w; u0 u  Q; A& H6 a  `: W0 @Tags标签： 无
8 I2 |5 X. q9 x2 i


20人收藏收藏
6 ]9 @$ D4 @: _+ [/ D分享漏洞：
& G8 [- e2 u) I* \& V- N. Q35

" ^8 J" y# N  o8 [! d9 g3 M# G--------------------------------------------------------------------------------
9 d3 ^) g; F9 l; m1 g% M
漏洞详情

4 R& f  U9 N+ X2 M9 N, u: n披露状态：

1 C, J. I% O9 J9 a  |
2 G9 l- L2 |; `2 Z( H! ~9 k' a
2012-12-03： 细节已通知厂商并且等待厂商处理中
2012-12-04： 厂商已经确认，细节仅向厂商公开
1 n, s* v! H1 r+ w/ T) p

! {+ r8 v$ T, x, {简要描述：

2 @) K# i/ y! A& v+ }4 @偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
/ h- w( U. p5 H: G  p! H1 G9 m, ^ 测试用的.你们收回去就是了.我是良民.
% g: P' A1 s: Z- M( P+ C
漏洞hash：47b3d87350e20095c8f314b7b6405711
: N8 P6 ?) ]& V/ _  i/ W
版权声明：转载请注明来源 only_guest@乌云

+ i2 c  [" L6 s9 N5 \. Y4 s3 q, H--------------------------------------------------------------------------------
. f0 r. [8 ?! T  q0 H3 y
# S2 x" G* t( Y# c漏洞回应

# I1 l) ~- C3 l; Y" u$ x4 e厂商回应：

危害等级：高

+ q/ d, B* M* a2 S$ G, R漏洞Rank：12

确认时间：2012-12-04
: l) v7 G; O1 I8 q
% y3 T* G/ E( q5 @7 J厂商回复：
( J1 ^, C' `: I
& h- {9 O3 L  r3 z8 @CNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。

同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。

按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00
0 J! C" X4 j3 a, m# {8 j& m