建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞

缺陷编号： WooYun-2012-15569

7 a* i, ?! ^* t  ]1 B3 t漏洞标题： 中国建设银行刷人民币漏洞
) E  O# l, l! S0 ?1 E1 b
相关厂商： 建设银行

漏洞作者： only_guest
9 b% k) \! w5 ~: _6 H5 l9 }* j
2 q" K1 ~; N- [+ A提交时间： 2012-12-03

漏洞类型： 设计缺陷/逻辑错误

危害等级： 高

8 ?9 d" M8 N' h4 d6 l: O漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理
  w2 A; [: E  v% m; h
漏洞来源： http://www.wooyun.org

Tags标签： 无
: n8 h9 K% P3 B% ~
0 w7 T4 T2 {, e/ C% ?  k) w& n" \

! ~8 a/ h, r0 |# F3 j& z! Z20人收藏收藏
分享漏洞：
3 R# A; V- B0 o6 h. s; P35
" g, \% z! ~+ `
--------------------------------------------------------------------------------

漏洞详情
+ C' }* r% Q9 ~% ^7 {% b: D
5 {2 e$ ?6 Q& N披露状态：



3 ]: z# H2 f% ~% [; a2012-12-03： 细节已通知厂商并且等待厂商处理中
2012-12-04： 厂商已经确认，细节仅向厂商公开

( g+ B: d/ b# b. V/ x" e: C
简要描述：
; G" u  m1 D4 c% I; w
偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
+ J: y  p* a- F$ A 测试用的.你们收回去就是了.我是良民.

+ Y. `4 k9 m" Z0 _8 k  o漏洞hash：47b3d87350e20095c8f314b7b6405711
! O. g- n$ B: r. H5 K- M
5 W  t# k9 Q" G$ n* y: ^版权声明：转载请注明来源 only_guest@乌云
7 S. H) c6 \0 A7 j
--------------------------------------------------------------------------------

$ D5 d+ B  f( s漏洞回应

9 P1 m8 v0 e2 j% F% k+ q) v- m1 C- A厂商回应：

危害等级：高
. H: [5 M0 \, G! C. e, z* B$ r- P1 H
漏洞Rank：12
0 D7 k0 L$ }9 S- @6 A1 S( c$ c5 F
确认时间：2012-12-04
8 X* y8 W# H: B. ]( [9 V: W) [
2 ^0 n0 U0 p5 ~$ p厂商回复：
% ~( L0 l. I# v0 f- D
+ F9 e" d$ }& t' H/ q) iCNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。
6 f  w% c- A4 B4 o( w
  Z. u( w; T" E# Y6 e同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
1 E% a+ a" k& m+ T
按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00
3 J! Q7 ^: L# b  u8 j