建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞
) Z) r+ ]& f" h/ f/ s7 @- S
" ?5 A8 a2 M2 f" e缺陷编号： WooYun-2012-15569

: X' @+ t4 H6 N1 S, I0 Z$ z漏洞标题： 中国建设银行刷人民币漏洞

相关厂商： 建设银行
1 V& V3 W; I4 N- t) n% N( |5 R
  |! u  Q  ^# y0 f1 g, B漏洞作者： only_guest

, V' x4 `$ B2 U, L提交时间： 2012-12-03
8 g3 T. S; G' A9 o. l
. D3 m* K+ B' T. {8 x漏洞类型： 设计缺陷/逻辑错误
% a1 }6 t! p% ^
危害等级： 高
1 B. X! _5 d" i: [. w9 ~* L, k
- q  ^7 h& M: |& Z8 u/ o$ L; d5 R漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理

6 B) p: A$ p. Y5 ]8 |+ Y漏洞来源： http://www.wooyun.org
1 y! ~& }# u$ `6 f6 f
Tags标签： 无

# d* c' N' u: g7 E

: L/ C; }5 x& b4 D20人收藏收藏
( O, a4 g  o: s0 L; d分享漏洞：
35

--------------------------------------------------------------------------------
( g- Y# c& f5 T* E- m, G$ \
漏洞详情
3 |; n# ~" T. |1 d
披露状态：
8 K; p: Z' n; Q; f0 N) e3 i
4 Q. L3 E4 E5 `& Q- R5 o! V6 X8 l

4 G0 E$ Q/ e% h6 t( g2012-12-03： 细节已通知厂商并且等待厂商处理中
0 Y6 b3 N1 t5 J8 z1 V( t, y- b2012-12-04： 厂商已经确认，细节仅向厂商公开
9 G6 H* w8 s3 E# d$ H0 X
+ F  S7 b4 b  z* a
4 }7 }. g7 c7 N简要描述：

偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
  u; v5 `8 _6 ]' ]' V+ `" _. Z4 X0 | 测试用的.你们收回去就是了.我是良民.

$ t/ f' R( V# f: C漏洞hash：47b3d87350e20095c8f314b7b6405711
8 ^( S  Q! k; n( K9 f9 U9 @
版权声明：转载请注明来源 only_guest@乌云

--------------------------------------------------------------------------------

$ R% u0 y+ N) a1 I% f) l/ s漏洞回应
3 n% {. V6 h- Z6 X# ]7 A- u" f
% A& y* U+ L0 w2 g2 [, H! O. R9 E4 S厂商回应：
$ W( p8 }% x" K% ^- u8 f( x  U
* ~5 w: z( c8 U; L3 `危害等级：高

/ ^( F% ^+ }% f8 l& {漏洞Rank：12
: |0 F# Q8 P9 ]. t4 F/ C' y' {# o
确认时间：2012-12-04
7 S: M! y7 S( q, I1 h8 g" d9 k
3 q6 E- f, s6 R- V厂商回复：
# ~* x. }$ T; V4 I/ W
: D) B5 V! k" d' rCNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。
; m1 G, k2 H5 Q$ K5 h0 S
/ m# e1 Y8 |7 h同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
/ X5 x" r5 Q+ S" U
按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00
% h. A% s6 e9 `' V9 _" n9 k, T/ d