建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞
: c8 ^6 C+ s% Q
缺陷编号： WooYun-2012-15569
, q  d( a; d+ \% H4 X- z0 i; f
漏洞标题： 中国建设银行刷人民币漏洞

) T- S; X  x$ b2 D# z% V7 _9 {相关厂商： 建设银行

漏洞作者： only_guest

. c* U0 Y, F& b# g" m5 i6 N提交时间： 2012-12-03
! e- L4 D- ~' q- ~; l' h
漏洞类型： 设计缺陷/逻辑错误

  M" f2 V3 k3 H. T2 [' ^危害等级： 高

! {4 b3 ^6 ?0 H' n漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org
5 G' u1 I  b) T# G4 v- |
Tags标签： 无



  V, A2 c% j2 C. z20人收藏收藏
+ Y1 S/ X: h( Y分享漏洞：
! O- B5 U( T; z- I4 z35
$ S8 a/ u9 J1 M* u5 }2 q( O
5 \! l* I; b+ E) o+ ?( C--------------------------------------------------------------------------------
7 L! b, A" Y' u$ a, w7 ]8 g
漏洞详情

披露状态：



* o% x( {  y  s2012-12-03： 细节已通知厂商并且等待厂商处理中
6 N' z  x! i; Q# o3 m/ u) S6 |2012-12-04： 厂商已经确认，细节仅向厂商公开

' {$ [2 C$ V6 ]& O/ F  ~$ M
; U& a9 y, s, u3 v+ o; L" |  V; h简要描述：

偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
测试用的.你们收回去就是了.我是良民.
( t* Y# S! f2 ^+ P  x" p( z. l$ z
0 x3 b7 w  v/ {, R漏洞hash：47b3d87350e20095c8f314b7b6405711
  s5 B; H( A) ~0 D0 c. q% @% y- Z# g& E# @
3 g; B$ K" k% [版权声明：转载请注明来源 only_guest@乌云

: T" I1 M, Q) q: b$ ^--------------------------------------------------------------------------------
, A- f) n9 I5 z
0 C4 j5 s) S( [/ Y# n, Q! o( N漏洞回应

厂商回应：

危害等级：高
! C  ?' f0 y6 W' X. [" E: S
" }: `. f$ [- R& ~# o  S漏洞Rank：12
9 _- s0 F4 c+ K8 y& {+ Z, e- H1 O
2 y' P3 S9 S; N* _) O2 s确认时间：2012-12-04
) f7 }0 D, b* z+ n$ m5 j" v! g
3 W3 d, a  D7 s* H1 R5 [4 V( l厂商回复：

7 N- |; v& i2 e2 zCNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。
- j( ^' C3 B* {* F5 _* `
同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
0 I. K1 P  ?+ A. P) }/ R8 A
按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00