建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞

$ Q9 |& J$ j" m( Z缺陷编号： WooYun-2012-15569
$ `' y0 K* W, k0 V
' `+ |& F% ^  S1 z+ Y5 w2 m漏洞标题： 中国建设银行刷人民币漏洞
! g1 P+ n2 ~- G( [5 p
% J. D) O) ?* u8 g( c相关厂商： 建设银行
8 V6 k( H6 c" L$ A) a
漏洞作者： only_guest

* u+ h, r1 O7 C提交时间： 2012-12-03
8 T0 h0 Y% Q$ B1 f" P/ x6 `" W
, m# Z/ \, P# o+ a2 R, q! o漏洞类型： 设计缺陷/逻辑错误
- |3 n% D+ t, Z5 [0 R
9 f  O% N1 r7 x0 ^& c2 ~% ^7 E5 n危害等级： 高

漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理
% ?) H$ a! A, ?8 F4 c# E
漏洞来源： http://www.wooyun.org
" u* X5 J" V6 N; y9 s0 D9 U
Tags标签： 无

9 T5 N, p3 C3 v7 F" w

20人收藏收藏
分享漏洞：
35
$ y8 M% ?* E$ I3 Y0 K8 g
8 o2 H5 ~" O% n" ~--------------------------------------------------------------------------------
' R( V- c) C7 q& z! \
/ O- |6 Z! u4 s9 _, {漏洞详情
* g3 m! g  L* d+ }; B) z+ }) V
0 w  d  r" \0 n7 w% g" ?" e  d4 Q披露状态：


% I) X) j: q7 }' `. D
3 X( a. o8 ?* y& ?" K+ R, d2012-12-03： 细节已通知厂商并且等待厂商处理中
2012-12-04： 厂商已经确认，细节仅向厂商公开

4 X" o% u+ e. p. G: k* E7 }
0 q3 j- {3 x, T, \9 S' Y  E6 Q! X) @简要描述：
( O+ ~9 \9 `6 b9 X. \0 N% t7 V6 {
6 a* d/ f+ S% g, V0 L, `偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
3 j# w2 Y( g# ^% r 测试用的.你们收回去就是了.我是良民.

, {4 ~! N  s0 I( X. U, E! H9 p$ a漏洞hash：47b3d87350e20095c8f314b7b6405711

版权声明：转载请注明来源 only_guest@乌云

--------------------------------------------------------------------------------
/ l# S4 L1 X; \4 O% E
1 m( K% M9 w$ t) D0 i1 W( p4 k漏洞回应
1 I$ o$ \: T: l, ^) f
厂商回应：
8 B9 f' n3 i- ?. P1 }% Z) G
  }( p$ u# v: W1 i9 E% x危害等级：高

漏洞Rank：12
: y( q& _- h) r, ?5 z
确认时间：2012-12-04
% m/ i; t. D% a, Z; C$ ]1 j
# d5 w0 m+ R/ u4 H" R厂商回复：

CNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。
# P* d' e, ~6 B
* \# @8 O& T! c8 N9 \同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
4 w0 Q' J* E+ D4 ]
" K) ]# b4 K# s按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00
. l  X3 `) o( B' I1 [