建设银行任意取钱漏洞
漏洞概要 关注数(233) 关注此漏洞缺陷编号: WooYun-2012-15569
漏洞标题: 中国建设银行刷人民币漏洞
相关厂商: 建设银行
漏洞作者: only_guest
提交时间: 2012-12-03
漏洞类型: 设计缺陷/逻辑错误
危害等级: 高
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org
Tags标签: 无
20人收藏收藏
分享漏洞:
35
--------------------------------------------------------------------------------
漏洞详情
披露状态:
2012-12-03: 细节已通知厂商并且等待厂商处理中
2012-12-04: 厂商已经确认,细节仅向厂商公开
简要描述:
偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
测试用的.你们收回去就是了.我是良民.
漏洞hash:47b3d87350e20095c8f314b7b6405711
版权声明:转载请注明来源 only_guest@乌云
--------------------------------------------------------------------------------
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2012-12-04
厂商回复:
CNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。
同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.00
页:
[1]