建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞

# \* L$ B- p' O/ a) I, I缺陷编号： WooYun-2012-15569

  u* I. o/ r3 g0 K! U- d漏洞标题： 中国建设银行刷人民币漏洞
" j& |6 Q( J# M, [! x- M+ k8 `, p
相关厂商： 建设银行
3 g. F. L9 ]) {( Y; v
; M; Z* B9 Z# J  F0 X漏洞作者： only_guest

2 ]5 x+ A' |, d8 g1 J2 \提交时间： 2012-12-03

漏洞类型： 设计缺陷/逻辑错误

# N6 }1 ^( o+ N& {" d( G3 M, _危害等级： 高
' V% m+ y- G' q5 `
5 E, m7 I1 d0 N' Y; _% d& c3 k! s# S漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org
3 [0 u, @  D6 d* L6 p0 {$ _% l
Tags标签： 无

3 b' Y0 @3 O3 B, [; f' x
& Z! |: |. q6 \8 A( k! n$ G# f
20人收藏收藏
分享漏洞：
35

--------------------------------------------------------------------------------

漏洞详情
5 v' c9 k( a* @- V
披露状态：

9 n3 T4 p  J4 T/ a9 h
7 n$ o1 _8 a4 s; l7 C2 o
2012-12-03： 细节已通知厂商并且等待厂商处理中
2012-12-04： 厂商已经确认，细节仅向厂商公开


简要描述：

偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
测试用的.你们收回去就是了.我是良民.

漏洞hash：47b3d87350e20095c8f314b7b6405711

  T; t4 v; R' ^版权声明：转载请注明来源 only_guest@乌云

" ^' u: c- a8 G+ M. F' q0 R0 r: I--------------------------------------------------------------------------------
: k1 v5 K% A- E: @' E8 }
3 t7 k( g' h2 w) H# k$ {, }& O- {漏洞回应
% d* {. G; F; q( |! C6 h
( R  E# s; [' d& o厂商回应：
4 j( N- o. N6 A9 j' X
危害等级：高
0 S1 }8 G8 O9 f$ N* P. n# |7 s& G7 d
+ r3 S7 ^, s. U  |' D, R漏洞Rank：12

确认时间：2012-12-04
9 j  K/ A) T9 Q3 ?
; D* d9 @  f# b* r: v, Z厂商回复：
' ]( c# |" w+ d5 Y4 _5 _, w
CNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。

4 [$ n+ `* c6 f# k同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
  j' z3 O) d" M( Z% N  V  a4 G8 @
( a4 B' g  ?( Z/ p( E$ y按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00
0 Z+ Q5 F) V8 n