建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞

) G  x% X# @! b. I3 B: `8 j0 p缺陷编号： WooYun-2012-15569
) e/ H7 \) T7 x3 S
) Y- ~& t6 \2 `3 A9 \$ m4 }漏洞标题： 中国建设银行刷人民币漏洞
9 a6 ~4 r! T$ J9 R  ?, ?
* o8 f( O6 Q5 ?0 x; R0 l相关厂商： 建设银行
6 A/ o7 _: K. `) Q$ o5 ?2 ?
漏洞作者： only_guest
$ A: f  w' O+ s; k4 J3 ?
提交时间： 2012-12-03

漏洞类型： 设计缺陷/逻辑错误

. I% B4 N( k7 h5 L8 V/ B危害等级： 高
# {8 k/ h/ @4 z' s2 c9 P
漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org

Tags标签： 无
, i7 I# ~2 L0 ?7 h& n/ O( c


( `: G/ ^4 M- r20人收藏收藏
分享漏洞：
35

. l. G4 c# v6 L6 l0 `: D4 w% @--------------------------------------------------------------------------------

1 O. N7 |. E8 a8 ~' ]" D* @% o漏洞详情
  U. C3 t/ N6 G3 R8 w/ T: I; k
/ c: h1 q8 ~8 s$ n0 `! r  W; T披露状态：


' i9 R9 u9 K# l9 n7 p0 j3 N& I
2012-12-03： 细节已通知厂商并且等待厂商处理中
2012-12-04： 厂商已经确认，细节仅向厂商公开
) p5 b3 T! t2 [' T% a( |  ?) ?& N  a: g

" ~* N$ n8 Y) e% x6 x简要描述：
0 q. {2 Z& h: n* P/ f/ ^0 f0 P! |) B
1 G1 m4 e. d: V) U( f偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
6 w9 F: p4 o/ z5 v/ j* R; Q# R9 [ 测试用的.你们收回去就是了.我是良民.
$ w* X% \8 r- y, P. R
0 v5 [  \2 o' C. V漏洞hash：47b3d87350e20095c8f314b7b6405711

版权声明：转载请注明来源 only_guest@乌云
0 s" ^* N7 ?; C
--------------------------------------------------------------------------------
' I! W$ n5 j4 J+ N1 ?
漏洞回应
2 F  D$ I* Z/ ?( _* f: @0 T0 A
2 C" f# \" i- {厂商回应：

: R( p& P1 _. s9 y+ }( T危害等级：高
0 u0 S; ?7 O. |; I1 Z
漏洞Rank：12

确认时间：2012-12-04
5 t' Z) u* f7 b% B) ~# M6 N' s
厂商回复：

CNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。
7 R' C$ {$ p0 r" {+ P. A% n
0 n5 P# q+ c7 L1 }, i  z同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
' Z! z6 i3 c% o2 ~8 t5 x2 n# m% ~: Y1 \" U
按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00
$ e' C2 g" Z* x' t