建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞
$ j. M) t- }8 k$ \8 u# o
缺陷编号： WooYun-2012-15569
6 ?! L1 H$ y1 J1 x; ^+ F4 V
漏洞标题： 中国建设银行刷人民币漏洞
" L" e% m/ _5 V: l
相关厂商： 建设银行

漏洞作者： only_guest

提交时间： 2012-12-03

3 z9 P, Q& e9 C$ m) J漏洞类型： 设计缺陷/逻辑错误
8 ~2 f! X" k. W1 q
危害等级： 高
5 W2 {- O! p$ |- h  F
/ N* a9 G# C7 [  p4 z7 ^漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理

. E" w! b4 ^& Z3 m2 W1 p漏洞来源： http://www.wooyun.org
  Y- ?9 S- j' s7 q3 w4 X. ]% l
Tags标签： 无
) z5 P9 p, ?- {, f2 `- I


7 L& R/ J; N# L& i! u) ^( a20人收藏收藏
/ [4 c4 X% I( J: q分享漏洞：
35
3 b; n( w5 e. M! ?# R
. ]% w" s7 z7 u--------------------------------------------------------------------------------

漏洞详情
- z) U- i$ Q! R& n. H' n
, P  |9 ?3 N: l6 D披露状态：
, }0 c! w; a9 \! K8 J' U
! R2 E. n  z2 y" Y& I) C" J( J" n

2012-12-03： 细节已通知厂商并且等待厂商处理中
$ K  [# n, t5 a- V; r& s2012-12-04： 厂商已经确认，细节仅向厂商公开


, v5 J/ _. q. d+ i简要描述：

偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
0 ^+ d$ W1 \  i# ~ 测试用的.你们收回去就是了.我是良民.
( E& ~1 J: ^8 L3 N: \% U
漏洞hash：47b3d87350e20095c8f314b7b6405711

版权声明：转载请注明来源 only_guest@乌云
+ o/ V# r- l4 `; Y3 y/ Q3 Q  }
--------------------------------------------------------------------------------
' e7 \/ ^) f$ \2 w- Y
1 F/ c, y: x$ Z6 s+ Y; S& ]漏洞回应
: n" y1 F, Y) T% W$ e& Z. m
厂商回应：
* R% h6 T# [! a& l- C, B! N. a
: I* ?! s$ n/ v/ b# _危害等级：高

漏洞Rank：12
6 V# p# `6 O6 K/ P5 l' U( I
确认时间：2012-12-04
- ]0 V: `" Q7 q' @8 s
3 q. s8 W8 r+ m1 J+ j  X厂商回复：

. X; K1 T9 z+ ?: ?1 E2 ^# `# |: n' HCNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。
9 `9 ?- w" P0 Z4 X1 T" x! Q* |
6 X% i/ e: S3 Z  ^9 z! r& C5 ?同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
- z  r( q* U4 I/ m
* R# E9 d+ R9 X) ]8 w/ e8 L按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00
" v. F( ^8 h$ y1 k8 t