找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2360|回复: 0
打印 上一主题 下一主题

建设银行任意取钱漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-12-4 22:29:23 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
漏洞概要 关注数(233) 关注此漏洞4 z) |& U8 o* ^% U5 K& U

8 g# V8 n- _! C9 Q! e缺陷编号: WooYun-2012-15569+ n) U) y) B: B& k  h# i" P
6 V: r7 U3 i. s  k2 A' T( r
漏洞标题: 中国建设银行刷人民币漏洞
6 o$ J; ]$ D7 i0 y% z, B$ C' ?$ j! p( Q1 S: u2 u7 d. X. w
相关厂商: 建设银行
; z9 p3 Z8 E* I" W2 Y' i& Y; L) R! Y- q8 M7 F, J+ t
漏洞作者: only_guest2 {8 P* `6 Z5 M" F" l! \

! ?4 ]6 i& J/ g. H/ y$ F4 X提交时间: 2012-12-03) u4 [* m' [1 }2 }8 r
' \2 C" @- C6 V: U. z/ P. m, q" G
漏洞类型: 设计缺陷/逻辑错误* j% b+ p0 \4 _6 P( t- u/ h

7 ]% {3 s" V5 u) s: x2 G危害等级: 高8 q) M& V1 N) V* J- S

* L& e3 x: `: d  [3 t. n0 X漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理
7 y6 K/ `. m$ l+ {$ _3 C4 `1 T8 m6 \- K; c5 F1 P
漏洞来源: http://www.wooyun.org
, N+ K' i9 y3 I, }3 p3 o9 t$ U: y- T# b
Tags标签: 无 1 N+ T( s/ u9 _7 c/ ?
2 u3 Y7 `8 a( x& V- B. M- D( o: t

# j* W/ D3 B. {( q/ [+ g) S- {1 k5 ?( e4 r! ~; c- M
20人收藏收藏 4 _: U& J: f) p
分享漏洞:
" r1 w7 U8 T& s5 t/ |  o7 N: z3 w8 {7 F35
% P  w; a" U" d. V# p% }3 A2 R0 N, a1 T+ |* l3 W* j
--------------------------------------------------------------------------------2 W- \2 l* f" o1 O0 ^
* T; a0 Q6 t& c
漏洞详情( k# X. C0 ~- n3 P" o  i5 O

$ k; O  B9 M0 a7 @& _8 c披露状态:
$ v; M- U4 p( H( @  @1 l$ K! R6 ~8 p& x: f0 l) g
1 _8 ^1 {6 y1 f: Z8 C2 @

1 g0 g1 m5 Y/ {- l$ h6 e2012-12-03: 细节已通知厂商并且等待厂商处理中* ~2 D- k6 }6 r4 b
2012-12-04: 厂商已经确认,细节仅向厂商公开3 \3 T8 O! c4 h) b/ a$ v0 F

- F/ Z8 d+ Z; G# R: P
* N1 ^4 P% Y+ X# M" F! r1 a' A简要描述:! [7 I/ U/ e3 [; b( F
& j3 T9 Z- }) H1 F
偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
# g: q0 e* d0 |  n; G+ m/ x 测试用的.你们收回去就是了.我是良民.+ n: f- o$ r! T; S8 v1 I

; P: K3 J' F3 }: i漏洞hash:47b3d87350e20095c8f314b7b6405711
1 j' f/ |/ A: l5 q7 J& a3 _& G9 j" F
版权声明:转载请注明来源 only_guest@乌云
- i5 |! w4 b- ]* V2 _, M# W2 D$ z3 J5 h- U# p- E
--------------------------------------------------------------------------------- o0 z, n, b2 L# y

: ~; y2 T; g. x) t漏洞回应$ W4 C1 s( u1 H$ m: T; }

; G/ l$ a- B/ L4 n8 y* j/ y厂商回应:" ~7 k" _0 d  Y1 g4 b/ f

: e2 d% z# j5 n: \+ @危害等级:高
5 [7 _& M) a' i& {! Z" s! |8 G1 {7 J& b$ G/ p) W7 h* v7 ?. ~
漏洞Rank:12 7 k) m2 I# u& r  [' [; s

9 S+ N& q# P' H! ]确认时间:2012-12-04
9 x! Y  i( E  F! N7 U6 r9 o3 [  g# R1 c! F3 B
厂商回复:' \; n2 h7 a- I

- R1 ]) h3 F3 t1 VCNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。
3 q- `& F2 B; d1 r 9 D# \3 k7 v$ s* ~
同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
% N% e! A) `4 s9 b, e  y0 |
4 H- z# i! L/ Z按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.00
0 m+ @9 K, X) S& O7 C
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表