建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞
! A2 V* Z' F6 v  r- r( e% \
缺陷编号： WooYun-2012-15569

漏洞标题： 中国建设银行刷人民币漏洞
$ C2 V: D7 `3 z& W: }# c3 N
相关厂商： 建设银行
; i' y# [6 i4 E- C1 d2 ^
漏洞作者： only_guest

提交时间： 2012-12-03

漏洞类型： 设计缺陷/逻辑错误
( L/ b7 J6 e& d9 @, e
危害等级： 高

1 L, g6 A9 a0 u" S) ~漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理

9 ]# |! j( r7 q2 ]9 ~! b漏洞来源： http://www.wooyun.org

Tags标签： 无
% J% n) d& R1 L- [+ O# n
0 d$ i: D# I3 b2 I* L0 i( ?6 V
6 k( c% ?! K1 j8 y+ ?. G% S
20人收藏收藏
* f  Z& C4 d! d9 A* Z2 ^分享漏洞：
7 X6 b3 \& {) s! M2 O35
4 P8 ]+ v. K; {' t% |5 t. D
--------------------------------------------------------------------------------
3 I2 }2 O# B3 \; x- i. T. M8 V
漏洞详情

披露状态：
5 \5 e/ z& o4 B4 q! N3 J& e


8 e9 b1 W4 _2 d7 {$ W0 q2012-12-03： 细节已通知厂商并且等待厂商处理中
9 V( @: i8 B$ }0 o8 K5 S5 m3 X. b% K2012-12-04： 厂商已经确认，细节仅向厂商公开
5 c! E# D5 H) u- j6 K
" O0 C7 w  H# u( Y% O
简要描述：
8 q! }$ y  K8 p, Z1 x" |
0 M7 T, o& @4 g5 _4 O& S4 v+ d偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
测试用的.你们收回去就是了.我是良民.

漏洞hash：47b3d87350e20095c8f314b7b6405711

5 Z2 ?" Z" a( U版权声明：转载请注明来源 only_guest@乌云

--------------------------------------------------------------------------------
8 k0 P6 j8 ?$ [; N
漏洞回应
0 v9 ]" ?1 D& c7 G( O  R- W
3 y$ W# V3 d6 s厂商回应：
% ~4 h& S- ]+ Y) U$ a% G% J
危害等级：高

2 z; h  I. F- i" L+ P漏洞Rank：12

& Z, E% M. m1 m确认时间：2012-12-04
: B+ o4 E% n+ n* ]' `; V
# q# c9 z7 \0 a厂商回复：
' c+ o, j8 S; e+ S! C  N, A
- u4 i2 W& P+ P5 a8 n* n6 ECNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。
+ L( S% }( T& }7 b0 d% f3 {' T
同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。

8 c& V8 J6 C8 N$ E; g+ a3 m按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00
& ~/ k7 z4 Q' f. K6 ?" k9 b: T