建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞

8 p2 [1 F3 R( m6 L9 J1 _缺陷编号： WooYun-2012-15569
$ t- k% H4 s3 V  G
/ u+ E  S& h) w5 O# E( G漏洞标题： 中国建设银行刷人民币漏洞
  w( y% r3 T. V, H- ^: p! O
相关厂商： 建设银行
. w  k1 Y9 A- B+ d  V* Z# \+ J
5 u4 U+ T5 U5 [8 v$ h, F漏洞作者： only_guest

提交时间： 2012-12-03

5 Q* W; o9 \! Z8 S- ^漏洞类型： 设计缺陷/逻辑错误

3 x; f6 V8 a% `- y( q- |+ d" b危害等级： 高

漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理
+ z, k0 _5 J7 m) d" S6 v0 V, ^
- u: S8 P6 p: p7 U4 l' a0 U漏洞来源： http://www.wooyun.org
5 A( b; Y+ J  h6 k, C/ n
Tags标签： 无



20人收藏收藏
分享漏洞：
6 Z' d2 d/ b  A  ~7 v4 ?! U: c35

5 L) \* G( M3 ~' m" P# n$ d--------------------------------------------------------------------------------

漏洞详情

披露状态：

9 j: e( f. p+ \& V, e  F& @$ o4 W' V5 D

2012-12-03： 细节已通知厂商并且等待厂商处理中
0 M) b8 h7 \! U- W* ?5 B2012-12-04： 厂商已经确认，细节仅向厂商公开
. _5 h. k  C/ v  H) G0 q# g$ }6 T

简要描述：
5 z' A* @$ g( S* _
偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
- g8 o9 M8 k9 D: S1 v5 J3 S 测试用的.你们收回去就是了.我是良民.

漏洞hash：47b3d87350e20095c8f314b7b6405711

版权声明：转载请注明来源 only_guest@乌云

/ n# y9 Q8 g4 U6 R. i. F3 g--------------------------------------------------------------------------------

漏洞回应

: [! |$ ?" h) x. M9 }: }厂商回应：

危害等级：高

漏洞Rank：12

8 o$ c% ?3 [+ j1 |) J( m6 f+ l确认时间：2012-12-04

" \- I: t7 M$ b3 L& @+ H. s# x厂商回复：

CNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。
# ]7 e) @% Q) `$ z: ]
2 X* E; K' f6 k同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
6 f# ^2 c, @* m3 j2 ?
, }. V% N2 ~; f8 e- S按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00