漏洞概要 关注数(233) 关注此漏洞
9 Z2 Z" O0 G# X1 s
# G6 {( J# x0 T缺陷编号: WooYun-2012-15569
( j( \! y3 @9 V4 q; A; z* O7 J/ w
& B+ N9 L: ?' ]. D- H漏洞标题: 中国建设银行刷人民币漏洞
# W3 K' w1 y1 M- I+ D7 [+ a" w0 ^- z
相关厂商: 建设银行
; N4 v7 E8 [" P; ~% j& } G. E9 ^0 g- Y3 }5 k
漏洞作者: only_guest9 v, B% A" M! O5 c% V
3 R, @ X+ _" j提交时间: 2012-12-034 a' }( n0 T! c6 |& }- W( x% }) l. V
7 i9 e! L" y. o
漏洞类型: 设计缺陷/逻辑错误
! a- s# g+ x- N0 ~
( g5 x E$ S' k1 B6 r; s8 Q危害等级: 高1 o- H' u7 t9 |9 [; J4 y! \
( F; r7 I; O, Z* m1 Z. V
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理 3 ~3 d* n0 m4 W; F2 Q+ t* W
5 F: B1 F6 m8 p! M漏洞来源: http://www.wooyun.org% G# Y" J9 U( E
* S2 r9 W% ]0 i' H% K0 W; b
Tags标签: 无
6 u! L. _$ } z3 x& m- q3 f0 J$ n
; u3 s& u* `* W8 Q
. o% m, T6 ^6 S20人收藏收藏 ! \$ n7 W- N1 h+ h8 D
分享漏洞:8 L* T7 u2 s8 }8 J
35
( e" ^, y9 V" T) e2 g# F5 e- }8 T ^' }$ O8 b6 u% G# a% ]
--------------------------------------------------------------------------------
/ B# Q: s, S% Q. d1 Y, Y
: S6 U; u$ Q) O漏洞详情4 _, X, `7 k$ _
: S: P% I8 f6 [, c" S
披露状态:
. Z* | m9 g) ~" y3 c! t( g3 ~
6 U9 Q0 P: l4 l5 e* L8 s/ f0 u1 n" Z2 `$ F5 I
9 e" L" U0 K, R
2012-12-03: 细节已通知厂商并且等待厂商处理中
# j( D- P4 |6 t2012-12-04: 厂商已经确认,细节仅向厂商公开/ r$ G# b1 c+ ^
0 A7 r( v/ z9 u" I ]1 A
# f7 Z) o/ }0 {2 _: \/ P( Z0 H/ j' C# X
简要描述:" j7 w, y; p6 W7 ^/ M
0 Y% Q1 X. @8 {# L5 G偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
3 _( [: g' s7 H1 | m 测试用的.你们收回去就是了.我是良民.
+ ^+ ]6 f3 R6 [3 v- [- |& s5 `2 e7 \! r1 W x/ Z3 @% `2 @
漏洞hash:47b3d87350e20095c8f314b7b6405711
, I: f" a, l7 G3 D. R, s* A# P
版权声明:转载请注明来源 only_guest@乌云
. h/ L5 j+ D- J5 R( }) i9 P L
9 ^; y+ h5 b7 |- x5 J- q& y, V--------------------------------------------------------------------------------6 Y% x, E) k$ p
5 u0 C. s, \1 y r& a1 W7 V5 M& t漏洞回应1 C; {2 U: ^4 Z" z, v
! |( x& f% e# Y
厂商回应:9 z$ }% A3 l7 B0 t
6 y+ }) ]5 f% F* U; D
危害等级:高
: |0 w2 _% `( G5 O. u7 l6 g+ J1 x. P, g! d
漏洞Rank:12 1 z" y6 T7 r/ d+ O
& e, h7 P1 _$ n4 a: S! O: p8 ?
确认时间:2012-12-04
: g. v, r; K) h1 H8 x
4 I' a9 z7 J- O5 {8 M5 A7 k2 S+ S厂商回复:! s$ @6 d9 i3 c" Z
. q) F/ }6 D- i, ~# z; h
CNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。
2 E0 C/ K, N# c/ ] |# W) c! D' S, b
同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
3 l- z% N: ]5 p9 V; n' X : Q0 u, p0 G/ n" O0 I. X; I
按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.00
5 I/ G+ U" p2 `4 T& e |