中国网络渗透测试联盟

标题: 建设银行任意取钱漏洞 [打印本页]
作者: admin    时间: 2012-12-4 22:29
标题: 建设银行任意取钱漏洞
漏洞概要 关注数(233) 关注此漏洞
- p- m; e3 @5 o( F1 R0 F) }% M
/ H7 |) O' \" {& c缺陷编号: WooYun-2012-155694 v5 o/ a% T- y- t

7 {% V# W; Z% Y2 ]: `4 }漏洞标题: 中国建设银行刷人民币漏洞 ; o: J$ o* |) K/ Z6 G! ^' j
: @- t( L) `, U% t$ `
相关厂商: 建设银行
" T# f# n1 G  [- R4 a8 Q7 Y
- W' e: L4 ?/ S% d' U漏洞作者: only_guest
) w- o) L/ a$ n7 z. @, J& H) N5 w* O, A2 x8 w
提交时间: 2012-12-03: |7 Z9 o* C9 _! q. o& s
3 {+ q1 }4 F$ x5 q& @+ {2 @' u5 V' }
漏洞类型: 设计缺陷/逻辑错误( x. |; ]2 c/ {* S, W/ _
  q9 `6 n! w- P
危害等级: 高1 X& b9 h0 |# y$ u
8 |4 K2 P1 P; ]4 x* U. O; v
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理 ! U& Z$ n) z, M* n" g  K8 e% w
9 ?1 ?( Z9 {& M: I$ W- P1 A
漏洞来源: http://www.wooyun.org) R8 R7 Y+ n0 j6 s2 Z
, u. i2 _6 P, [7 s  E
Tags标签: 无
  }% t" t. c+ C" K; e/ D# a' j8 {8 J2 {/ S3 u4 j! {" z9 A
; {9 P' [; g8 q2 `8 u

0 n: L$ [, L5 w: m20人收藏收藏
: D$ J$ n6 P2 h& `分享漏洞:
) Z7 H7 |/ ^7 i# b) s35
0 l( y+ b  A* J, b* v: G1 x7 S6 F, \8 D: Q0 P) M+ N4 a. T/ u! |
--------------------------------------------------------------------------------+ w, z  j; u" i7 s6 U& I1 p
$ W1 d* ^  D0 `  H* m8 s* ~$ }/ Q$ g
漏洞详情
6 \7 L: L* E3 S+ M3 _0 X# B2 q& E$ B( |9 T# t* ?
披露状态:" ^1 ]5 E- C9 _) f# L& P; S# f

% u; Z1 Z' K* I/ k! U. L! N* A# }, Z, Z* k8 u) ]: L4 _

! l) B  d+ g6 a+ r7 \& b, m; O2012-12-03: 细节已通知厂商并且等待厂商处理中
1 c3 h' [0 O# `% x' X/ W/ |" n0 O6 k2012-12-04: 厂商已经确认,细节仅向厂商公开
, T: O. f6 j# P0 K+ F, u2 n" D5 K% B% w. b- h1 T
9 y& @- W  o0 s
简要描述:% y) ?  L5 L& X& R$ G0 h% t+ L
4 b8 c/ y! N: I1 m
偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
! w. A2 m; K, Z2 u( A+ O' p 测试用的.你们收回去就是了.我是良民.
# c) x4 o- O3 X" R4 D( B/ k6 `. O8 ^4 d( J) @
漏洞hash:47b3d87350e20095c8f314b7b6405711
- U( y' d! S- O0 H0 P  g
8 u8 w" O( t7 y4 \. `7 ^版权声明:转载请注明来源 only_guest@乌云& c8 o% a8 _0 B5 d
; h; R; Z1 ~; v) `) D
--------------------------------------------------------------------------------; L* z* f$ o0 \, y# _5 M
4 @$ j9 N, J( K1 E0 y
漏洞回应
. n" U$ }4 o1 Z5 g8 I' ?3 Z1 M- [& P! h) z) V1 ?4 m. b& i3 N
厂商回应:+ ^0 G2 L0 Y, m" O* ?

. r4 H) Q* p: E0 T9 [危害等级:高
' [0 O& }: r8 u, J7 b- \# h+ z' z$ {4 W
. e' B& S. `' O9 a( B漏洞Rank:12
& K5 ]2 d: }5 ^  W; \# l0 z, F( C; G8 D/ g6 Y& [, S2 a" {
确认时间:2012-12-04( n) t+ A  `0 X. F0 }1 [9 [
9 D  g! E4 U1 @! a
厂商回复:
: e1 d/ r! S" R4 e) s& z. H6 P  a1 m7 q* c  \+ M3 A
CNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。- _, Z% P& x3 E4 u  j
- }8 _+ F- u# R! X; G, o
同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。% U1 C; r4 t  ^2 @

1 ?" i2 w0 E4 |7 J6 K. r8 H按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.00  X: ?9 d4 j5 U3 |9 r, Q+ n0 Y0 s




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2