漏洞概要 关注数(233) 关注此漏洞/ n( k* H: A2 ?
: h# V: W7 v( ]8 j缺陷编号: WooYun-2012-15569/ ^8 t) S4 y: Z1 D1 w
* B: L9 q# T1 h2 w; [
漏洞标题: 中国建设银行刷人民币漏洞
6 ^6 j' u/ Q8 V9 _! R) d" q2 h4 m2 A2 f6 H
相关厂商: 建设银行- f8 t; x+ n/ p3 e+ B
* @$ I5 [0 [/ V- H3 n漏洞作者: only_guest
4 q) [4 t1 J9 {+ y' q$ _2 Z) N5 J+ a* C# {0 ?: r
提交时间: 2012-12-032 n: V& m6 U- t$ U2 q, r7 b& d
& W% R R* c' I% N4 v
漏洞类型: 设计缺陷/逻辑错误& E) K8 x! H4 A/ U5 t+ X4 B
q7 A6 Q5 y2 L$ Z: m. k
危害等级: 高 G2 k0 b% \. N) c# B
9 t9 S) |% M8 [# I漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理
: a# ]- _+ z b4 p# J
$ t5 L! G/ H! n漏洞来源: http://www.wooyun.org
( l& I8 G9 x( w9 ?' B# j' ~) p8 N }; Y# @6 g. `$ {, @
Tags标签: 无 ) C, S( ?2 m0 G* F5 z6 T3 ^
2 W/ A. N& N* E1 S X0 H& A- M
+ h- }+ d% ]4 A* W: g' [) E
' |* l' f; _: h/ |: u4 `# x; B20人收藏收藏
( {2 v6 X0 h4 m, O1 O0 V分享漏洞:
1 R$ Z5 ~9 i6 U8 I: X35( L C8 J( T/ E F
6 S0 @9 _% `1 S& G--------------------------------------------------------------------------------4 \! g9 D$ \& z
7 i. n- k' Y: i( Y* j; ]) \漏洞详情/ C Y7 j$ n# W O5 ^
5 Y- ?$ d" A6 H3 Z5 X+ N! N/ g
披露状态:) F, Q$ v9 R+ v$ t! r
# T' L( ~7 T6 D3 M% J
5 U2 o5 E$ q1 B# k- L" X
( ?( f5 \9 }6 Z8 l) H2012-12-03: 细节已通知厂商并且等待厂商处理中! q; N5 o: U/ e: \2 P- g. X
2012-12-04: 厂商已经确认,细节仅向厂商公开
' z# p1 f* f) U b9 j2 L7 \+ [: q2 T" X8 r, ?' F5 C5 {
; ^) ~2 I! c' i0 V& ]6 ?简要描述:3 ^2 [% M y% k# _# h; p7 r d1 v
- F" P& j3 d+ e# d2 q
偶然测试发现.就让我再做次标题党吧,我就刷了90块钱.... F* u" [$ Y, P: e$ Q, _9 B
测试用的.你们收回去就是了.我是良民.( {/ {0 d9 V) j+ d7 M
$ J- K3 A0 V9 N9 i7 Z漏洞hash:47b3d87350e20095c8f314b7b6405711& C/ v! _ g- N8 {8 p/ T; Y
5 k% A) C' [. [7 k( z) G" J3 e& k版权声明:转载请注明来源 only_guest@乌云
5 \$ `9 Q5 a* M9 _
, ^( o; {+ Z5 ^' P8 R" B" G7 s. U--------------------------------------------------------------------------------; p' D# f7 m% q+ z5 T) U( I
. @, M2 m& r6 j. d2 F0 C# O漏洞回应
$ |& A# ~: q7 t( `2 @( p$ i8 l$ F$ }5 v# y, P9 S2 a) c
厂商回应:
& v# q' k4 Q" F) g
1 E, W0 A* I8 p危害等级:高" u3 |& u3 |9 T: ?2 A" r
1 d8 |1 j; W4 Z( Z$ K8 S2 j/ `漏洞Rank:12
a5 `2 R3 d9 f/ v$ h5 h" k3 Q0 F3 _- Z3 Z& }* [8 L* Z$ q9 G
确认时间:2012-12-04 f! q# Z' u' t! J) M# I
; L: }! E( l" p7 b9 D1 Y3 P厂商回复:
^* L8 i1 Y: u/ E- \! H
* f& p( m& f' @4 ^2 J, j* qCNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。
# e2 f! R4 [' l* K0 a9 a. q 3 W* l( s) ?! R7 x% R* I+ |1 T C
同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。: b$ j7 T/ W- ^0 M1 n" A- M/ W) `/ J
6 [* q3 i9 H, D- [( o- n' L
按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.00
2 U& o+ i8 X* S9 T) ]8 Y |