中国网络渗透测试联盟

标题: 建设银行任意取钱漏洞 [打印本页]
作者: admin    时间: 2012-12-4 22:29
标题: 建设银行任意取钱漏洞
漏洞概要 关注数(233) 关注此漏洞: Q$ I- _/ a' ~. o7 T; E- g! K

" j' o: `: O2 c缺陷编号: WooYun-2012-155690 R7 B( q% M! i

1 Y+ d7 }6 Y3 D+ t( u漏洞标题: 中国建设银行刷人民币漏洞
" G' }% j9 D' U3 a0 G$ ^: v% u0 H: r# Q/ ~! V
相关厂商: 建设银行
9 O% u7 x: g4 C+ F+ F! |0 Y6 H$ {
2 E1 `& r- L0 `4 h6 A漏洞作者: only_guest
% H6 Z+ y% r1 G2 f7 c6 J0 _5 I$ m6 _7 H" q# I7 S7 V
提交时间: 2012-12-036 ?" s0 ?% d( g6 o
# Q2 Q, [! M5 z' l  @  n& L% k
漏洞类型: 设计缺陷/逻辑错误
1 A+ z. H; M% T- X0 X* o) t" e9 U$ \$ X- c+ m$ r5 i
危害等级: 高/ ?6 K# \3 `* M: m! e1 }5 L

) O( I0 g. S! V0 M0 R2 S, }漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理
& @; \" y) }! h/ g! ], t) }# r( P5 w
漏洞来源: http://www.wooyun.org2 |. [  Z8 h* r% h

4 C) E5 E" j* }0 j" T- r( t% s8 TTags标签: 无 5 E6 A, n$ n# c& X" s* o; k' E
7 o4 O/ ^5 m7 B* ~+ A( x# D  |

/ G' a  [! @1 ?0 p0 Y2 `! I  `1 }- W9 n, u: L: {6 C! ]
20人收藏收藏
/ _- b: T! y8 x7 S/ T$ g分享漏洞:: X' b. q* [% ^1 V
35; f. a1 }5 {/ I+ d

) ?; k3 K; c% y1 N/ f7 u--------------------------------------------------------------------------------
7 A8 x0 e" |$ P& b& X( B  Q: g4 w: {
" M4 C2 I' T+ G1 ~2 T' P9 m, D漏洞详情
2 {7 e) e& n* C# e7 b. |, C; }6 X5 S# T# R. ?5 ^4 x
披露状态:
: ~1 o) W" K% y6 K
' \- ~8 R3 J9 @' V  E; O5 Y7 h
& j* G6 a9 a  I  t' n) I( ]8 y: c! N# h# M+ \: Z2 J9 i
2012-12-03: 细节已通知厂商并且等待厂商处理中
1 m+ ^  f% l/ ?: T5 p  g* Q  H2012-12-04: 厂商已经确认,细节仅向厂商公开" O. a6 n  X/ ?$ p5 f, U

7 q1 E- T) W, C; J5 Z" N& x3 x) _7 z1 J5 @* b1 y+ }" T8 j
简要描述:
" a, N9 w  d* g9 X0 s& p1 f" I5 N
偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...0 y, u9 b- ^# l: [* R" y$ x
测试用的.你们收回去就是了.我是良民.' G2 M' d  c! u: @# P! }7 J

# l$ {! `% ?; {. ?8 |! f6 B漏洞hash:47b3d87350e20095c8f314b7b6405711) P! _, h$ E. w9 d
9 }$ {( P$ Z. T; W; ]; M
版权声明:转载请注明来源 only_guest@乌云
  [% [) Z7 P8 b; Z" f* C  j2 s" {- K; t! g( B- ~" _; [, b
--------------------------------------------------------------------------------
$ ?" a* J1 ~/ w7 H) r
3 ^% t$ c) t4 {/ J漏洞回应
$ G6 N, _2 i$ r0 X
: @: n8 a0 a5 f8 ?  d# O; g6 u% \厂商回应:
1 t! o6 C" @" d6 Z4 _: r% w( H0 C) Z- W0 w% I  I! k
危害等级:高
8 w" S$ L7 p8 t+ @
8 @. K+ [) ?: N% z漏洞Rank:12
- \" P8 e# T" }% p. Y2 Z: T1 [" z4 \
确认时间:2012-12-04
& w3 g1 ~3 v2 q: o6 Q5 q( c) x7 l7 w( s
厂商回复:- j+ ^& Y/ y" e/ \6 Z
  P- I$ z3 I7 A, m4 t
CNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。
2 x  U  X. V3 r: ?7 U
' N  X3 r2 Z# q# `/ u1 _同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。2 [5 G6 P% c2 B4 B
* z4 u# k( O  |  J  w
按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.00* [/ W3 {* R" c, a$ y& [' M




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2