建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞

: d" ^" j  p5 R缺陷编号： WooYun-2012-15569

+ t, }$ H7 D0 X: ]1 t0 F* l5 t漏洞标题： 中国建设银行刷人民币漏洞

1 Z% U( |5 i. A1 D相关厂商： 建设银行

" q: H& J+ D' A8 [2 {* K# B& c漏洞作者： only_guest

4 D' N0 M& J) X. r提交时间： 2012-12-03

; s8 D, G5 [& y漏洞类型： 设计缺陷/逻辑错误
7 P4 ], |# _1 X% z* ^5 l( W; j
危害等级： 高

漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理
! P/ n' w( T" o6 a/ y
漏洞来源： http://www.wooyun.org
* h: T$ H$ f5 ?7 O
$ P6 U" `) A# y- X6 ~Tags标签： 无
# C2 H7 P% y) g
% a5 C9 J, u2 D  m
# _9 Q. A1 N. r/ ?$ b( ]0 N
# r' i& M, U' j: k20人收藏收藏
9 r7 q; \8 ]4 x  C4 E( g' b分享漏洞：
35

) Q5 @# M* ]$ Q; d' s; X--------------------------------------------------------------------------------

7 X, @: b( j& u漏洞详情

" w; `4 i3 \: c; u9 @披露状态：
1 t7 u% Z9 `# F/ \: f" Y


2012-12-03： 细节已通知厂商并且等待厂商处理中
( v$ M* m6 {% n2012-12-04： 厂商已经确认，细节仅向厂商公开
9 y9 _4 Q+ m* T1 V) V6 A; R

简要描述：

: Z8 H# S8 Q9 ^6 f/ u) k" A偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
测试用的.你们收回去就是了.我是良民.
1 {" D" k) o# I- P/ v+ Y
漏洞hash：47b3d87350e20095c8f314b7b6405711
1 D0 j: ]" g2 M5 w/ P
版权声明：转载请注明来源 only_guest@乌云
" R3 ]1 y0 i' s' M
--------------------------------------------------------------------------------
- C8 \6 P: Y+ S4 Z
0 E) |6 C# G" ~* P漏洞回应
5 {7 F" L, f4 ?4 z) Z
厂商回应：

. G9 e9 V2 @( @/ |6 B4 I危害等级：高
8 n% L+ s& d+ Z8 I$ _; w$ b1 @
7 j- v: D$ p8 a! k! s& W漏洞Rank：12
6 R2 L( q1 u4 V. [3 ]+ j
5 T7 A6 m5 J4 Q* H% C( y确认时间：2012-12-04
" t4 c$ H/ w; e* j
' X  f# J9 n0 E% ]; o0 |8 c厂商回复：

CNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。
0 t6 e; e9 H4 ]/ |1 c& Z: O1 n
: V% x) v. D) I, Y" i0 ~2 ^4 M+ R同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
# ]/ i3 V  {/ L7 [8 t& m
; j0 \) Q1 V. @9 D8 s. \, I按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00