中国网络渗透测试联盟
标题:
建设银行任意取钱漏洞
[打印本页]
作者:
admin
时间:
2012-12-4 22:29
标题:
建设银行任意取钱漏洞
漏洞概要 关注数(233) 关注此漏洞
' }# X0 Y9 J6 a8 V
% `2 V C& g6 n+ v8 }$ Y' k! A
缺陷编号: WooYun-2012-15569
' ?, ^( u; M! q
6 ]3 _9 K/ T( r2 L6 ?
漏洞标题: 中国建设银行刷人民币漏洞
1 ?9 G! W& _8 t2 [
' l; n) z/ a: w+ r/ Z1 b
相关厂商: 建设银行
! c8 O* K! J( C0 Q- a" R
- a- W/ O5 y* w& k5 }
漏洞作者: only_guest
* v5 `6 T# L6 Y- S4 j Z+ O
4 U1 N, l: U$ F' [" k; ?' M- E: H# e
提交时间: 2012-12-03
: d6 `9 M8 S# H4 z! V1 a
9 f2 I+ o( @: u! X( n# ^* H- K
漏洞类型: 设计缺陷/逻辑错误
3 [& m" H$ ~! Q2 F
- w, `0 n7 l) [$ r! |
危害等级: 高
! @+ q& _% C5 Q; m2 p
) Q; Z; v& P: Q! N
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理
& M# g" g0 m, B' l- l) H9 M' t3 x7 v
4 R7 ~* Y) h* O0 ~: F0 x
漏洞来源:
http://www.wooyun.org
: i5 ^: t% s. l2 u+ P
/ G5 ?% F( |: A2 T0 H1 h& N% s' t
Tags标签: 无
" S9 Z# h( \ O: T- w# f1 I
6 N( }" i$ u& q) \$ {' _( [
. G8 q4 D% }/ j
2 L5 ?' g( ^; y1 Y0 Q, z
20人收藏收藏
. B1 V! p" P! |) w8 E) L
分享漏洞:
% y! M" O* X1 ?' f% A' a9 R$ T
35
: |+ {% L: j/ ?6 A' U: j. g/ e; w
8 W" ~1 G8 T" ^6 \
--------------------------------------------------------------------------------
" V. R# L. I) a0 l; T: E* ?: q# D
. a# ] p4 d( m' j) W4 k; h8 L
漏洞详情
; y8 C& o2 ~) m5 L$ q- e$ S
! C$ D( g# e( Q* h0 S! c4 X! M5 h
披露状态:
1 a! {- r3 ~5 \8 I
% t- S. L5 w: a5 G# G5 n% U8 H
5 E u. W- `8 d$ t' ~( t
5 k5 H3 h% }7 K4 a2 C p5 O) L* `, C7 n
2012-12-03: 细节已通知厂商并且等待厂商处理中
; V5 L% G. ^, U! s6 r3 | I% S
2012-12-04: 厂商已经确认,细节仅向厂商公开
1 e- _( z. b. ?' c+ q- p% ]
, `1 [( E6 d) N. o
, v ~+ D: X$ ]8 [! i" F$ c0 A4 s
简要描述:
" Y1 R) P( E6 @2 N
! B M0 p8 y- F+ p3 b$ t* f9 I* U
偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
! U5 T5 o; t6 l. o) K( n
测试用的.你们收回去就是了.我是良民.
3 S% R6 @0 v! o: p# l
4 a6 q* B" K. }. `4 A
漏洞hash:47b3d87350e20095c8f314b7b6405711
) H4 K0 T! c8 l8 I2 ]
: T( C7 M* Z6 [, k0 N
版权声明:转载请注明来源 only_guest@乌云
3 e8 \0 _% n1 M8 r* T& K
! g4 d" G; R% c) ~4 i
--------------------------------------------------------------------------------
9 v, L, ~3 Y8 ^1 h: l
2 i9 Q6 k: o, [& B0 {4 L7 i( {. g- v
漏洞回应
; ~! x3 R" k- j3 V$ [" r' z# T" t
: s7 U) N% P8 t: Z7 w: d2 N: D L
厂商回应:
- i! A5 B% h9 w
: [$ l+ b1 q$ R7 f0 x! t3 Y- b5 V
危害等级:高
* s8 Z' N% X) \
$ h' M' I$ d4 G3 O+ S! j
漏洞Rank:12
B2 u6 o2 k! R( N
8 x6 u5 g O! |4 d* Q$ g0 J
确认时间:2012-12-04
* [4 d: |* `4 |" Q9 J+ G& h
' O3 J' d2 G4 Y1 O+ e8 r( O
厂商回复:
: i! j- ], N9 U+ ]8 f
+ r: z- m: A1 f, e! t* Y9 J
CNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。
4 h" C1 M" D' `9 F0 L
7 \; @9 U4 M& @! N+ J; ]: l) x
同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
4 w# h, s! Z: J8 K
) G6 F( J- Q6 U p+ e8 r2 u
按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.00
; p% p4 t9 G0 A- Z4 T
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2