建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞

缺陷编号： WooYun-2012-15569
, O- x" F/ c1 R+ a5 U
; v) _$ ]) N& ~( G1 O  z9 ]. {漏洞标题： 中国建设银行刷人民币漏洞

相关厂商： 建设银行

漏洞作者： only_guest
. E# `' ^4 ^) q, _5 |5 E) v
1 Y1 z9 {. [) s* A" G% w* |' t4 N+ t提交时间： 2012-12-03
- T" g2 k5 L0 {, R" \
: h  I# S8 ^, y6 X漏洞类型： 设计缺陷/逻辑错误
9 u8 I7 l' _  Z( Y
危害等级： 高
7 N3 G9 n; s7 _8 p# T- }
; n+ t' g1 e* o漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理
' |; s& _2 F% r, I- V
$ \7 Q4 p+ z- H9 U3 k' x0 {$ U漏洞来源： http://www.wooyun.org

Tags标签： 无
4 N4 a- V& z  t" N0 u# E. u

  h4 B) j3 m* E& k2 Y: W
- a# i8 y6 z+ h+ ^) Z20人收藏收藏
分享漏洞：
35
  Y- M1 ?# E1 D% h- @: g& O
# h) A8 \' K. |, T) f; d--------------------------------------------------------------------------------

漏洞详情
: K. P/ O3 Z) E1 ^: d
披露状态：

" ]- b- R4 F% _" K
8 T' P2 o$ D4 U# b
' P+ v( K7 _) n1 Z! b! }2012-12-03： 细节已通知厂商并且等待厂商处理中
6 I1 r% _1 M" r: w2012-12-04： 厂商已经确认，细节仅向厂商公开
' e! Q" {% Z) g8 h3 }
7 T( C9 W) R9 T* L
简要描述：

偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
测试用的.你们收回去就是了.我是良民.
; ~, e4 |$ s, M+ t9 f2 q: b( r
漏洞hash：47b3d87350e20095c8f314b7b6405711

版权声明：转载请注明来源 only_guest@乌云

--------------------------------------------------------------------------------

漏洞回应
' M5 n9 t4 L2 D7 l
( t+ g2 D# |* i0 M厂商回应：

危害等级：高
3 A/ p  w0 v9 @* a
4 r4 f5 j3 y3 Z& D7 A, T3 Y漏洞Rank：12

) N4 v% B8 T1 x# z4 N- [确认时间：2012-12-04

, A% R" d. l& s  ?厂商回复：
2 Q4 z  o- e+ X
& E3 c/ u3 W- @CNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。

同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。

按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00