建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞
% Q  I- t1 `' P- M
( W  ]3 t1 A  j4 s. D' N缺陷编号： WooYun-2012-15569

4 s- M& A  ?$ n( ~漏洞标题： 中国建设银行刷人民币漏洞

3 \$ l) y* K) a/ t5 _/ |相关厂商： 建设银行

漏洞作者： only_guest
& H5 T; T5 V5 s& t6 d
" s! S. Z  L' ~7 y! s# o) W; W8 \提交时间： 2012-12-03

: d1 a9 H8 h/ W) M8 M( ]" `# h漏洞类型： 设计缺陷/逻辑错误
6 P: o# ^2 J0 d' y/ C4 T
危害等级： 高
4 K, d: A7 M, |: e' X" E- s
漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理
* y( V0 Z. Y3 c7 |4 y, r
( h9 F/ u2 K0 h6 s漏洞来源： http://www.wooyun.org
. l# B  `! T* L$ }
Tags标签： 无

( C7 E( T# W5 d
5 W; P, M8 W9 @6 k/ G
/ W' y3 m% B- _! F  i5 z20人收藏收藏
分享漏洞：
35
" @% s; q( v+ C9 G
--------------------------------------------------------------------------------
4 b5 x9 D+ J8 w& U1 u/ T9 L
; ]8 B: j6 s6 [  _漏洞详情
/ G% l# C$ X# E2 t: f
披露状态：
8 q0 ]/ a  G/ p( E7 H4 \5 {5 C
* F0 g: B5 S! N" R

; x$ y2 X$ `$ h, @$ X2012-12-03： 细节已通知厂商并且等待厂商处理中
2012-12-04： 厂商已经确认，细节仅向厂商公开
5 F9 U; l" H& G6 N+ f

& }: ], S: G; O简要描述：

偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
8 L3 e4 _. f: m& i3 J8 l 测试用的.你们收回去就是了.我是良民.

- I( v8 b( b) L漏洞hash：47b3d87350e20095c8f314b7b6405711

+ A; i' z9 E  L* h$ _' m版权声明：转载请注明来源 only_guest@乌云
3 o- h! N; y- M& A9 t5 z
--------------------------------------------------------------------------------

$ P8 o6 ?3 q* ~漏洞回应

. s6 W) \# I/ J" c( U+ d厂商回应：

- V  h6 n) m: {# w& z/ \危害等级：高
5 m( K& |8 }9 |. y! e9 Y# j
$ J# C& l- h# X5 a漏洞Rank：12

确认时间：2012-12-04

. \0 O+ u- ^1 m9 U厂商回复：
- b" y! Z) q- a. c( U
* V1 [% ^/ \# S. mCNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。
3 a5 ^' g; P5 F2 T* @" X
同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。

" b7 N3 x- k2 u按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00
+ v; j. X; X) N: _0 X& k* c) R