中国网络渗透测试联盟

标题: 建设银行任意取钱漏洞 [打印本页]
作者: admin    时间: 2012-12-4 22:29
标题: 建设银行任意取钱漏洞
漏洞概要 关注数(233) 关注此漏洞# p( j% i. b# V

3 T. j! y9 f: I: z8 t/ k缺陷编号: WooYun-2012-15569& s* L2 n, T+ c( j
  Q8 y  j. @; o  [
漏洞标题: 中国建设银行刷人民币漏洞 9 c3 I3 R" i/ d4 f3 l3 c
' B1 J. b/ n' d1 g7 R
相关厂商: 建设银行
+ g7 R6 j" {; o
4 j  W; B1 `2 U( o$ f3 h( }漏洞作者: only_guest
. J$ a+ U  \0 W! H, {, J0 q8 c8 T' L! S0 Y! t" S: @. I
提交时间: 2012-12-031 u1 f, H2 f5 I( q+ y
; R& p- Q* v: X, F, f' O
漏洞类型: 设计缺陷/逻辑错误7 ?7 i2 n, l6 ?

7 U; L, o5 A- k危害等级: 高
- E6 u7 t1 T; f% p# U" Y9 ?
; p$ [& M3 Q4 V# o* ?" D! C6 T" q漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理
' @$ z" j9 g6 @( {1 v. w0 Q( C$ p$ k. }6 j: |0 J% w
漏洞来源: http://www.wooyun.org
- U2 R* C9 _7 h5 k
5 V* H# s5 H# X' m# PTags标签: 无
7 j4 g; T# x8 s0 M! u6 C, E9 D7 h' R% ]4 T, ?+ O

7 |1 y5 }" H$ n! C
8 m; s' L9 {) p4 s9 `+ Z! T20人收藏收藏
1 B1 n& Z9 y9 @8 |9 z分享漏洞:! t1 K% _3 H2 g) R+ b2 D3 M
35
8 e, e- Y) t2 S# ~" ]7 |" E2 Q$ x, L, }% j
--------------------------------------------------------------------------------
: l7 h0 j1 l, M7 D& T$ E! h& b7 L) `8 y2 `6 c
漏洞详情3 i/ D- d! d1 O/ ?( W+ L

4 h1 R% x1 b: y2 D; v, f披露状态:
% B: i, j$ I& o% z% a% P* |( Z1 e( l$ I" ^2 ~) Z) ?6 `6 H% R4 t

9 ]0 m- l# S2 K, m& B7 I
5 R  M. D# J# u. w9 v9 u2012-12-03: 细节已通知厂商并且等待厂商处理中* G& k& I9 T- ?' E, Z
2012-12-04: 厂商已经确认,细节仅向厂商公开
3 _/ u8 X2 t6 Z3 {; S2 m
; ], D4 ~2 c: {+ ]$ @! f
; G& A5 V0 _4 p; n: a7 ]简要描述:
+ n5 n& u9 ~' P; M$ U9 b' w* {& S) S+ A0 f9 z' e
偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
, X% e- _/ Y# H4 X 测试用的.你们收回去就是了.我是良民.
: F# `: x; h& J* r( [8 [( k; N8 C2 ~& H, ?
漏洞hash:47b3d87350e20095c8f314b7b64057115 K1 m" N. f2 X# T5 t& M
1 y6 E- t1 p: i" v- u
版权声明:转载请注明来源 only_guest@乌云' ]# a. \0 w6 d# ?8 @" Q

5 u: K7 G6 y# J--------------------------------------------------------------------------------1 }, s1 a/ H# b, G9 ], S; x

' ?0 ]7 w" z1 ^7 I; g漏洞回应
$ M% u+ T! z+ w2 T, N+ K9 u: h9 K7 x1 T, l+ b! s3 e
厂商回应:' g" p, q3 J5 B+ s3 @) s/ B
6 r/ x$ p2 V4 r  S! ~
危害等级:高  w9 I" ~* B0 u9 e% A

. N5 D0 v# Z; Y漏洞Rank:12
8 o' A: i7 _& T" s
% i2 p. b* Z1 k8 T1 I确认时间:2012-12-04
9 Z- e3 h  b  H1 R4 P5 U/ F  O0 a) r1 F
厂商回复:+ T  c# y5 t( K/ `6 G

  X2 {: P# O/ p# N5 I4 ~/ b; `CNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。1 ?1 |4 R7 I9 b3 _" z
2 D* N; Y2 O: F" M0 q0 A0 J  [0 S
同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
& J& o5 t) s7 A3 C1 V& f3 e& \2 z% } ! b. n0 x& I$ {) Y
按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.001 ?' i4 p6 a2 @# n* j# g7 p




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2