建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞
. R9 @" b3 x4 R
缺陷编号： WooYun-2012-15569

, B6 }1 S! e  r漏洞标题： 中国建设银行刷人民币漏洞

相关厂商： 建设银行

, ~- ~8 r$ e$ }漏洞作者： only_guest
: E2 b1 e6 l, c" Z0 x
1 n, P4 R- |$ i提交时间： 2012-12-03

9 `8 c  ]* A; m2 G漏洞类型： 设计缺陷/逻辑错误
3 b, K+ y& G- _9 j: o. E7 B8 Z
危害等级： 高
. |5 m; C* ^6 ~5 p# e
( Z$ g1 T' ~; S/ ?+ p7 y漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理

$ Q- O5 t" a- [, V9 V漏洞来源： http://www.wooyun.org
9 Q' U# G( n# n/ A7 }/ _) ^
Tags标签： 无
+ ~$ l0 I5 W& u


1 t; j: C. [& T& Y" P$ s20人收藏收藏
7 f% v' K0 G, \+ o8 T5 d分享漏洞：
1 D9 K, n$ n; r1 P35
$ o3 l, G3 R8 l6 {2 o  @! |
& s: q  c: ~& I! W* F--------------------------------------------------------------------------------

漏洞详情
7 e/ b+ W+ n! d' |( _: k$ P  Y: Z! S. l2 l
披露状态：

( I4 G( t/ N. I' T( P' g7 z. c

2012-12-03： 细节已通知厂商并且等待厂商处理中
/ a) v& |5 K# y+ c; h2012-12-04： 厂商已经确认，细节仅向厂商公开
2 ~2 v, m0 ^* `9 s

简要描述：
% N; H- ^) J1 l- I% ^
- i' s. [: w! ?" ]  Z" a# S' I偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
9 n' ]0 Z. B  S) \( o5 n 测试用的.你们收回去就是了.我是良民.
$ T5 ], ^6 ^( b; [8 C% y
漏洞hash：47b3d87350e20095c8f314b7b6405711
, g: @  _7 f( f9 k2 G4 E" k- J* w
版权声明：转载请注明来源 only_guest@乌云

--------------------------------------------------------------------------------

漏洞回应
. `4 M4 [' I8 v1 x
. n8 ~% U0 r( Q8 J厂商回应：
* ]+ _3 K" {- w
6 `3 N# U' e  k6 m0 |+ r2 V, e: l危害等级：高
* r# \9 x$ [( U* p6 c) b) Z
漏洞Rank：12
: _% s/ h! W! J$ f; b  K" y/ C
3 M% Y$ b7 q/ h( |7 m; f& Y确认时间：2012-12-04

9 U; V9 y9 O: @厂商回复：

CNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。
( U" S5 M5 C! ?4 [- H$ n, c
2 |: o& j1 A$ K) x, m& h& I  P同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
5 X$ U( ?+ K; Q5 A1 l
按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00
4 n, |, t: B* T% p( w/ J