漏洞概要 关注数(233) 关注此漏洞% e! ^5 h5 A, D% G( O+ v7 ?
6 s2 x3 v& Y! M1 e1 N9 J- n
缺陷编号: WooYun-2012-15569& D. [8 ]; k8 j D2 c/ E3 _; j
9 E/ v2 j. t5 {" V. m6 ?漏洞标题: 中国建设银行刷人民币漏洞 1 L$ r7 E5 @4 P0 N3 Z' g1 E$ H2 q0 h6 V4 z
$ f- G/ y( C2 y5 ^# o相关厂商: 建设银行+ _% A! F1 x" y$ l
3 v9 X; k$ Z$ ~漏洞作者: only_guest
$ H- E3 u, A/ @6 y+ H3 L" p/ X6 n0 e2 A% y0 F, X
提交时间: 2012-12-03
3 _3 T3 k t) X& [* l8 Y
. u# Z- \: M; V& Q漏洞类型: 设计缺陷/逻辑错误
. l% x" J+ k4 a- H* t0 W! J* x# @8 B7 M* h3 v$ { ^- P3 B, u
危害等级: 高& j0 v# K" }$ ^1 [: F
5 W$ t$ L% i6 b, G
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理 8 L! F3 o( Z& |. {3 i1 J' x3 O$ Y
2 J. H+ J m& p% Q0 |( i
漏洞来源: http://www.wooyun.org
3 ~) F* m& d! J; ]6 u
0 W W- n8 S% ~* A( }Tags标签: 无
# ]( q9 e) f. l. J
5 [2 A" f. {/ _9 Z5 Q, P$ N: `. Y2 W( [" i4 K+ A
9 ~) y2 W) C: h- [! \3 ^* O20人收藏收藏 % Z' `( z2 w3 R% E1 B* ?, F
分享漏洞:, F2 T- `: Z5 c+ I" J p
352 e7 I; g! D3 v. W/ O
+ r7 ~' q& s. \5 `$ q K--------------------------------------------------------------------------------# w0 Y3 C" X5 B+ e
% g' I; P: K# O. R
漏洞详情
( d- K4 p/ n3 `; ?7 `# H" I! C) D" B+ f6 p% m+ O7 l
披露状态:4 c7 Z. n( Q8 ^
; N7 d5 D6 d: a3 Q6 @: m% C7 K
) y! o% n+ Y" \- Q1 w5 I+ d6 w/ } F. y* x0 @7 N+ W
2012-12-03: 细节已通知厂商并且等待厂商处理中
; k2 T3 R2 O4 O- G/ Z2 ], o2012-12-04: 厂商已经确认,细节仅向厂商公开
) X! y+ O. d, S+ E2 P$ V" r. F e; E
) t0 g6 G7 r# Z简要描述:
- q' x" h( X" B7 N
3 H I" Y7 N7 B; t+ R; N; |9 n偶然测试发现.就让我再做次标题党吧,我就刷了90块钱.... K4 h1 n4 p; I
测试用的.你们收回去就是了.我是良民.
* A* e1 {* L8 R2 \% o
2 O! s G+ K% _' h0 }* _3 C$ \漏洞hash:47b3d87350e20095c8f314b7b6405711
( o, X- z# t# G" T) }& w6 T3 p
& n, o& O7 A" i2 p+ L版权声明:转载请注明来源 only_guest@乌云
- e% ~! \: \9 M E- D- f
, U; d. f: ?0 h C2 T--------------------------------------------------------------------------------2 ^, R6 }+ c$ W' Z
* X' B; r" l5 V7 u& o* A
漏洞回应' M! m$ @; @' }, Y
7 c- t; y- C4 ~ E2 I' h" G: j厂商回应:
) c7 I4 N* x5 G2 l# K J2 F! p6 y
. C* S0 _) \% H% n危害等级:高" H: M# ^" E# D. O1 O- f
5 G) f2 X# r1 |4 X; r/ d漏洞Rank:12 % o$ ~, L- L1 ^: _* f
+ U, V3 l: T) H2 t) m确认时间:2012-12-04# h7 ~9 |2 C/ F0 N7 \6 P( P
7 ]. j0 Q2 g) X8 N9 g+ F2 P5 v
厂商回复:
9 _6 U8 t- x% ]$ m3 o G
' T$ t# U B5 PCNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。
0 m" w# V: @" a
) I: v3 I r! C( v `1 R& W同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
, h3 f. ]% x$ a/ B1 J, [* M : [* N, ?2 h% J9 g0 q% c; {" v/ ~
按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.00 T3 Y1 @; M5 \( x7 T! N7 A
|