找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 建设银行任意取钱漏洞
返回列表 发新帖
查看: 2697|回复: 0
打印 上一主题 下一主题

建设银行任意取钱漏洞

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-12-4 22:29:23 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
漏洞概要 关注数(233) 关注此漏洞
% B5 S, C# X2 }$ F4 P5 k' J: p& ~( E# s
缺陷编号: WooYun-2012-15569& j" {, F, k8 ?) {3 D- q

1 ?8 G) r5 J' ]. T, O3 ^漏洞标题: 中国建设银行刷人民币漏洞 ) T: W2 E5 \. C. `8 V, ]. Y

- c- A5 c* }+ L2 L+ I5 [% S相关厂商: 建设银行/ ?' g, ~" F$ S; [( b' g5 A2 U

, c) q7 |3 b8 b$ B3 i5 Y漏洞作者: only_guest1 I( d+ M% h1 g$ ]2 [- X
5 e7 D+ q9 A6 `8 q! r3 J' ?  m  Q
提交时间: 2012-12-03
* U3 R5 p, _8 x: b  h2 M- |3 |# {* N5 l' m' W& i: m  S
漏洞类型: 设计缺陷/逻辑错误2 S* u) W. C6 ^
2 `- p* B! [0 }6 y' G2 Y  O
危害等级: 高3 {  P- v' m+ q8 r1 b+ E& G! U
4 y0 h, e( m3 `2 L; @: k
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理
  C* {2 b* L1 q" L0 @" Z; Z- ]9 s( e7 j0 w& Q* [- ^# h' _' W* B
漏洞来源: http://www.wooyun.org
; O* Z( Q. ~9 s8 c3 ?2 _5 j2 V  f
Tags标签: 无
* R5 x9 ^1 y7 J  a" F1 g
+ ~0 _$ i( G6 X( b* g) x$ V3 N" ]7 I% A+ K  P$ b9 O1 G. K" }

# m: |0 {1 Q2 ~# P2 B20人收藏收藏
8 t! f: n; p1 m: V  @- Z9 w5 X分享漏洞:) B' n: y3 |* e
353 ]: W' R* E6 e8 j
" ?/ Z9 C. ~% m3 M3 J- h1 w4 a
--------------------------------------------------------------------------------& Y7 @# Z2 N( _$ Z: T' }! ?' ^

. |1 M- b& u) z8 p2 r- R漏洞详情
$ n. I4 t$ U2 c6 C' R* }* w- ]) F8 s! B  k6 l! C- S
披露状态:
7 R! Y! v1 @. F
; M; `* o4 b2 K" x5 W
" ^: H" e3 e3 Z5 G8 z( J0 W; \' f- s0 ^0 \0 e% S
2012-12-03: 细节已通知厂商并且等待厂商处理中8 y% u' n6 |; m3 p; F  c4 l
2012-12-04: 厂商已经确认,细节仅向厂商公开) ~3 `  x! o2 {1 Y
' K$ j0 w$ O0 e* C9 U
5 E* h' c7 B/ @( A* u
简要描述:: E+ G& A$ j; z/ \* G
7 d) h# ~) i2 n& b& i7 |7 @$ u
偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...) D/ ~4 q2 C. `* P6 h: }
测试用的.你们收回去就是了.我是良民.
) a' b7 M* V( q, ~1 z) U$ K( Y
( h2 S" Y$ t( x% ~: g7 ]3 Z漏洞hash:47b3d87350e20095c8f314b7b6405711
1 p& x% X8 ]" h5 i4 i' k& j; V& |$ {- |% L5 W' s
版权声明:转载请注明来源 only_guest@乌云6 `4 P' D5 J2 D
: n2 o; g; J9 u) o4 z+ k
--------------------------------------------------------------------------------
( [8 Z: x1 ]; p$ {+ h* Z( x
# d! C' ^+ A- d! Y/ ]漏洞回应1 {; C9 C& }1 S) a. A3 A' K/ S5 p

! u9 I3 W7 h( ^7 Q; L# X" F厂商回应:
1 T9 E0 h$ h: C" C- B6 ?: u* V$ {  x: o* Q; e. s
危害等级:高
0 z6 X; }  T/ p8 ]3 l
* D# v8 h5 k4 e6 a漏洞Rank:12
% F; m& M+ z1 v. H) A
7 Y4 b. L7 ~$ U; X确认时间:2012-12-04! |0 l$ v7 U2 h; P# T

& S# J/ _4 ]- v厂商回复:8 d) V5 _* D& b. f# q

6 d7 q2 O0 {0 n: u! dCNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。: Z7 ?% q  @( v7 W' y2 v

6 I5 [7 L, q. v) ], j5 R同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。% Z9 r( h  F, n$ N" C- A+ E
3 o5 c' [; o3 R4 w
按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.00! y- F) Q" w- A- q; d  O
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表