建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞
8 y5 e5 |+ m0 d9 U, _! a
6 C6 ~3 O% ]& _缺陷编号： WooYun-2012-15569
( N" E, f# T6 f
漏洞标题： 中国建设银行刷人民币漏洞

3 o6 l+ h% ?' e. C相关厂商： 建设银行
# h0 v! E5 \6 ]* k
4 }' E0 T& b* [9 q漏洞作者： only_guest

& ~% f" b3 b# n! N+ d3 Z& v提交时间： 2012-12-03

漏洞类型： 设计缺陷/逻辑错误
7 p7 h+ P/ N5 X/ l# t4 s- t
危害等级： 高
* v+ }' U+ u/ ^; \# x: V; ^4 P8 y: j
漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理
/ S0 N0 ^6 l; Y& E. Z$ O
! F! G1 e/ R  ~; x! M漏洞来源： http://www.wooyun.org
% x9 ^, [5 R4 @# i' r  x( j
Tags标签： 无



20人收藏收藏
& [: m5 y2 [1 f- J/ P, `) t分享漏洞：
35
* U( S( f+ _, O- Z% f2 I
--------------------------------------------------------------------------------

+ o$ |5 r6 c" p3 l+ l9 f& R漏洞详情
  ]% `1 \9 z- S8 E1 B# u- D* ?
披露状态：


. |3 x2 m# |0 R! p9 h. m* z; n
1 P$ C/ l( D4 ]  k% n8 h2012-12-03： 细节已通知厂商并且等待厂商处理中
9 Q% Z+ l' n# i2 b" j4 [2012-12-04： 厂商已经确认，细节仅向厂商公开

7 g3 j% ^" k0 S, @9 i5 Q( p1 j' \
简要描述：

% K5 j' O9 c4 ?偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
+ X7 q! N2 F+ ]* |# K1 o/ _4 b! M 测试用的.你们收回去就是了.我是良民.
( s5 T4 \/ Y2 u
漏洞hash：47b3d87350e20095c8f314b7b6405711

" w# I( n6 O+ p; l( }版权声明：转载请注明来源 only_guest@乌云
; }* P) e. k! [; V  B, `/ n( b
5 F) q$ }; A$ W--------------------------------------------------------------------------------
3 d( p* e- g8 O/ m
漏洞回应
  s0 @' b- z6 E- R8 J3 W. v
3 f# y, Y# ?: C" a, ^8 D3 X5 E: I厂商回应：
! x9 d) _- j1 C4 {" M$ L# E  R. j
# F% s4 ?) X' G危害等级：高
" f/ [1 O) B5 e
+ {7 p$ A. u- E漏洞Rank：12
0 k3 L3 Z$ \. v0 O, ~% i% o  A+ y
确认时间：2012-12-04

厂商回复：
+ q5 w1 l" s+ k) m' J7 s
CNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。
. T2 ]2 ~% V& H( K1 e0 h
同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
# M5 y' H: T5 `; t6 `5 q# R2 T/ y& s
按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00
% E! Z. p) k2 m9 r: U3 G