漏洞概要 关注数(233) 关注此漏洞# [8 `; T! ~ O+ V. R" t
( e7 F2 s2 w2 z, L缺陷编号: WooYun-2012-15569
* M5 W9 L) `- w9 f7 r$ |& K0 g5 N5 j% v
漏洞标题: 中国建设银行刷人民币漏洞 1 o+ J9 h @* R$ y% m9 k! t
8 m; j. \1 [4 y f0 O& J
相关厂商: 建设银行) x' R3 P4 `& W+ \ |
( p' X* y9 { r$ m9 S% M% w. j
漏洞作者: only_guest3 \6 C& i3 q* O+ R6 N; x
% C9 p- u8 N# O- d提交时间: 2012-12-03
+ X( ~; e7 e1 c9 k/ g2 I4 n- \" Y: Z$ n* X& F
漏洞类型: 设计缺陷/逻辑错误
. R( K1 z' U, D. x# T' ^3 Z
) b$ g. J4 R' B& F" y危害等级: 高! Q& e$ j; X; u7 I8 N& z6 p) |
7 W p; u; V5 b漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理 4 I) y7 V% l l' N5 W2 q
' n% i8 M: W S" Y3 C% U: M" G漏洞来源: http://www.wooyun.org, I( O1 _4 H4 H9 V$ R6 k
- w3 U' \- U a3 ]6 ?# ]
Tags标签: 无
! L+ f6 q7 Y5 ]3 D4 m" t$ [ r
9 Y3 j& k9 K2 z X
* O& D, X7 h# I( y7 K) p4 {! g& E. G+ I; Y
20人收藏收藏 % G$ l) ]* m1 o; \, ^* R& F
分享漏洞:
# X6 i& {5 A6 m5 C5 H% q35
% I# y' t+ O, C' |8 w3 m& x* q. A* s
* l+ N o/ Q6 T. Z! N% Z' E--------------------------------------------------------------------------------
# z' M7 Q+ d& o. S! }( q; A" | \' u% l [8 _5 D9 V
漏洞详情
- f; i/ a# k R% }* |3 h7 h; A3 S: W& ^; ~0 d6 H: b4 e
披露状态:
& a G$ N, F- n( E; u; Y# z
& {$ o1 J( |, }6 Y$ t: g5 M }7 K% N9 p/ o8 z1 }
+ O! y! Q- a7 A$ t4 E4 }& N
2012-12-03: 细节已通知厂商并且等待厂商处理中
' A$ N: E) R- H& ?( p5 q# e, z2012-12-04: 厂商已经确认,细节仅向厂商公开
* B& j2 O: B5 J4 u8 p' a! K5 Y6 Z- `' F! m
3 Z8 W. y9 d: S( V
简要描述:4 m8 b& ?; M1 h/ G
. Y& \# V( m9 N& M' [偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...3 ^6 S0 l$ j- I5 E+ q, D8 j
测试用的.你们收回去就是了.我是良民.
/ Z/ N6 u8 q& k3 F% k4 P
7 U/ \2 x1 x0 N& Z* N# b$ t5 I- d, l漏洞hash:47b3d87350e20095c8f314b7b6405711- E' {* j( [3 C& S
& |9 [& v$ j7 I- G8 l6 C2 L版权声明:转载请注明来源 only_guest@乌云
& j% j& a4 C8 ~( K% v J. j# {( d: N
--------------------------------------------------------------------------------# Z8 t* r' ], _# S5 v( v
R6 K1 d9 z' `. f# o4 {: j漏洞回应
& J+ F/ _8 G/ C+ Y* K1 ^8 x5 O0 U; X
厂商回应:! T6 Z0 Q ^9 _% S9 F; ]
- H1 }3 Z7 w8 X7 M0 f危害等级:高
* k# L# i8 u8 u8 a' ^$ p f7 F0 p& N; k7 y" C0 E
漏洞Rank:12 6 c2 }) U _" z" \
8 O5 w" w7 y3 N% t! d# T确认时间:2012-12-04
0 v E# @& y" P1 E5 n6 E& G) U4 ~& w7 N$ j E8 n" q$ f9 k
厂商回复:! h0 _: x5 L( L( C5 o3 t- P! E
& i+ T" B! ?( Q# y7 R5 l8 _
CNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。 O/ A+ T" G2 s' H
( u* I. ` _2 a- I# c- R4 ?8 d
同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
8 B2 @6 @7 q$ W' A# f5 Y# n
: ?$ M N; [# M$ d: g" `: i按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.00
3 t& U/ G: H, Z+ v) [' D |