中国网络渗透测试联盟

标题: 建设银行任意取钱漏洞 [打印本页]
作者: admin    时间: 2012-12-4 22:29
标题: 建设银行任意取钱漏洞
漏洞概要 关注数(233) 关注此漏洞
1 B1 @4 W) D: f( k2 T" z$ k( Q" W
* f/ ]* V2 G) `2 J0 `缺陷编号: WooYun-2012-155697 Q0 T/ b. n" ~1 U3 s; z

' ^. d/ K0 P- L% f) H3 r- K! p漏洞标题: 中国建设银行刷人民币漏洞 4 }  D. Z3 E0 y

4 k6 ^; d) h5 @/ ]; V3 Y  {5 k: z相关厂商: 建设银行
2 Y+ u0 v7 z& g! Q$ e/ l8 e' a% u
漏洞作者: only_guest
+ D( Q- j1 F7 e: ~  {, M. O5 J  o0 S
提交时间: 2012-12-037 c7 e- T2 ^) v/ _# s) d2 O. Y/ ?2 ^
/ q" `$ }  R2 c. Y2 _# l
漏洞类型: 设计缺陷/逻辑错误. a' U1 z7 ]7 \  J

. j5 `2 b; }4 m危害等级: 高
  F$ S  y* A* {
& V4 X4 F# G' i' Q* `9 U, `5 ~3 |6 {- H* y5 q漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理 5 t( W" n6 T! l$ u

# R8 b7 _$ {" A3 m( Z& p6 a漏洞来源: http://www.wooyun.org
& b2 _" u& x1 \" i) C$ o$ g$ g  Y; L8 A8 d: w8 E- ]
Tags标签: 无
1 Z+ p* i% V( `  T  C8 |1 D2 h4 c/ r6 k2 f! {/ r$ p

+ Y2 Y/ b% y' ]
, m- A. A3 d  C* u1 M' _20人收藏收藏
) s0 E- C  F3 y  }* ^分享漏洞:) ], ?% ]" ^4 G  g! ]0 r
351 n; N7 d  m% w1 N+ i0 q

! B! z5 {0 L+ U--------------------------------------------------------------------------------
9 q6 \' ?. ~1 F5 p4 m5 L6 g3 [/ d, f0 x' c" X, [
漏洞详情' X5 z6 @* v) P* H, H6 L8 T
6 \$ N3 ?' {9 l
披露状态:
3 W% R% @) L, c, S; v
! w: d9 J8 R, g5 i1 l" G( d% E# O1 X/ H5 w" v$ y6 i
: R% |6 j+ W  v& z4 m, h
2012-12-03: 细节已通知厂商并且等待厂商处理中& A  {5 ^' @( J3 g4 C
2012-12-04: 厂商已经确认,细节仅向厂商公开
( {* r* T7 q/ A# D% \' W5 B# u3 e( O8 i' T
: d0 l# q6 A9 m
简要描述:
' Z& \) f( Q" \& a# z
% E& |4 A/ ?! W# l6 r偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
8 L% `# ^/ ]$ H) R4 A% j6 w 测试用的.你们收回去就是了.我是良民., }, s) a! w* E8 S# t6 A( u. Z
7 J" f4 X+ M; _, D4 ^4 d5 x% o
漏洞hash:47b3d87350e20095c8f314b7b6405711
* T' j6 E0 n6 V4 p
  w) e( j+ E, W# A& {- a版权声明:转载请注明来源 only_guest@乌云# V8 y: t; G- V0 t6 |
4 a  [- ^6 t& g+ O: @# F, c( F) A
--------------------------------------------------------------------------------
- j# a/ v: f/ D
! V& O7 `4 l8 _3 x* ^' n6 C漏洞回应1 c4 L% R5 X4 R. }+ v
' S0 x# z3 P) Y  l+ T3 {
厂商回应:
4 ?2 v3 P, Y# l* R0 N) [
$ ~: j2 i+ ]0 P$ R" h; Q( o7 a危害等级:高
/ f, k* _( z& I4 ]: x
& a2 [! ~3 F+ j. x- Q/ Y) C# n; @漏洞Rank:12 / W* S7 u" x+ B2 M

$ \2 e" e3 Z1 [+ U5 m确认时间:2012-12-04* D+ u! T# }( Q( [2 q. c* L

) E% d, A8 ]. Y0 F厂商回复:
9 V, Q- ]" o' o. O4 N7 Z" h! E- ?# R( N& j: u
CNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。0 l8 f3 u( u' G& I7 V9 ~
4 E; H0 \& O8 ~2 U* V) Y
同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
/ ]5 i9 ~' n  z8 [* d- c, y4 x9 _   i# d7 T1 U& [% u
按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.00
& m7 j2 q$ F2 [( m, u9 V



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2