建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞

& k# g% h9 y- I9 ^缺陷编号： WooYun-2012-15569
7 e8 Z3 L+ _/ @2 q8 f
漏洞标题： 中国建设银行刷人民币漏洞
9 f7 \0 T; R& @! R* F
相关厂商： 建设银行
1 w! I% W& p7 g4 w
. D& k, v/ r# A漏洞作者： only_guest
8 F$ v( B0 H( Q& @4 i& ^1 T; n+ x
0 R+ W6 R3 W1 e' Q提交时间： 2012-12-03
0 I# b2 t" S0 h
漏洞类型： 设计缺陷/逻辑错误
6 x% {$ t+ D7 E/ w
8 a  |0 ?1 g1 \# P' s6 [危害等级： 高

, \* D: e$ b1 P% y1 }' \$ g漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理

1 f5 O5 C: k8 w8 Y漏洞来源： http://www.wooyun.org
2 \5 j& f& P5 X
Tags标签： 无

2 \0 O5 _  r- u4 ~' I2 q$ L
0 M( u, C5 X( c% U; p" O
. n- M% b2 s9 D  H5 |- h# K# J20人收藏收藏
1 c+ |- m7 R- E8 J分享漏洞：
35

: K# ~9 _* \% T--------------------------------------------------------------------------------

! X; Q& L/ {, U6 l$ Z7 E. }6 u  P6 b漏洞详情

披露状态：



" d: q$ p) \; l! R4 `6 \: K2012-12-03： 细节已通知厂商并且等待厂商处理中
% o* m0 ?4 |. @! j/ a, n# b2012-12-04： 厂商已经确认，细节仅向厂商公开
! u, S* a4 ]/ |5 ~0 r
+ \2 Y/ l9 K/ s7 \2 @9 g
简要描述：

偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
: ]0 L% i: L6 ^5 I/ O- m! U 测试用的.你们收回去就是了.我是良民.
* u) a8 ~; ~0 s
漏洞hash：47b3d87350e20095c8f314b7b6405711

' w4 Y9 ~- D; N% L; |9 L版权声明：转载请注明来源 only_guest@乌云

4 r; w( K& N5 j--------------------------------------------------------------------------------
' j, i* n' x) V1 l* Z
4 a8 }1 L, O' h9 y- u! ?* |漏洞回应

* C- E$ p, c/ R9 F2 S厂商回应：

) K# ?2 [+ [- }% Q: f危害等级：高

漏洞Rank：12
' [8 y& q; G2 e
" l/ ^7 ~1 o: H$ p9 G! O确认时间：2012-12-04

- z( E& h1 G5 Q- a) R厂商回复：
2 p8 M) m: C/ ]6 _) S2 s& ]3 g% b
* e8 W  o& d- ?- c4 |CNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。
. @, N5 b/ t9 c" m+ @# [
同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。

# a0 V) |% l% O0 g按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00