找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2359|回复: 0
打印 上一主题 下一主题

建设银行任意取钱漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-12-4 22:29:23 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
漏洞概要 关注数(233) 关注此漏洞
2 O( h, F7 z, B. T
. m! P0 Q0 c* U: q* }, u缺陷编号: WooYun-2012-15569
' P! D9 n+ f7 P! N+ C
  ]( q7 }4 K0 i1 q9 q& V漏洞标题: 中国建设银行刷人民币漏洞
0 U% j, b8 m3 k  T5 F
& `( w; m$ r/ U0 \- f相关厂商: 建设银行
: t. [. I! Z+ X) {: D/ t: M+ R3 {8 B+ i+ Y: j& V+ S
漏洞作者: only_guest
( O2 U7 u* Q. d/ E" N2 D" d2 {7 H2 ~- c, V+ L7 F
提交时间: 2012-12-03
5 Z: C4 E# }+ y% h5 O
4 W+ r6 C: F' ?& [) E; n3 P7 e漏洞类型: 设计缺陷/逻辑错误" `1 M1 \3 Z- v0 C

' w! r- f& D/ b: N' C: b& T7 O' L, I危害等级: 高
. S- M# m2 G$ q! m* @/ ^: p, j9 t% t, P7 f; w
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理 # p, _! ]- Z  M' Y2 m, ~

" l6 [9 z3 T% B7 a: Y% u( v漏洞来源: http://www.wooyun.org$ e1 y6 a$ b0 J  v/ w' l

! c  r" \$ c1 S. }0 B* z7 FTags标签: 无 * s0 \8 T7 _$ M
, t9 \! g! K% i( z, J1 e. n
. n1 \" A: X& }9 s9 G) Y

! w8 A1 E% i5 E  u! Z20人收藏收藏
& a6 S& y% I/ Q& l8 n分享漏洞:
: j# x/ N6 R: R" d% W35
" N  ?- @/ r$ |  [8 ^8 t
! l( E- z* Z: f  A: Q7 u--------------------------------------------------------------------------------
) F( k1 w, `, p' ]6 B7 [/ e
' _" K: G" E3 T; S, d漏洞详情
! Y8 j3 e7 A" k- x. |6 Q. W  ]4 q/ K! m4 N
披露状态:
5 \" ^. K) ~' S8 [/ Q4 Z
5 h3 [; C$ ]9 v/ V7 X. G$ ~" f0 k' `
+ r" \7 S9 {9 l, u2 i
2012-12-03: 细节已通知厂商并且等待厂商处理中
! y6 l& ]0 c+ T" R1 y2012-12-04: 厂商已经确认,细节仅向厂商公开
0 r$ `8 [9 V* _4 W
5 v4 R+ o! I; O& b. G. A& v2 x4 P0 ^, m+ k
简要描述:
, q$ d' ^$ v- b( I1 i$ d: ]1 s
9 q3 r3 f4 E9 T- c; K. c偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
9 ]0 ~; O7 x; h+ a6 o- B 测试用的.你们收回去就是了.我是良民.
5 e6 e, {, }# @  ^1 h( U
/ K3 S3 u  }; [+ t0 s漏洞hash:47b3d87350e20095c8f314b7b6405711
* R) p' q# }* Q, s( o
6 P# o/ |0 l+ N, u0 |1 |# ~7 L版权声明:转载请注明来源 only_guest@乌云
& @$ T- ?+ r; _+ t. h
1 t$ r$ `- @2 x9 m9 r5 E--------------------------------------------------------------------------------
9 w& k, \  @, P9 ?. p2 J5 p& g; K  ^! S0 Q- Z+ W2 ?
漏洞回应
. f4 w( [+ ~7 N0 C9 C
2 ]; O- S, y/ y  x5 d/ P2 o厂商回应:
( q* r2 A3 j, D+ x- C/ h8 b; X, t" p/ P" q: C2 N
危害等级:高+ p" p/ H, V) i8 [
3 B; f( ]" ]2 q' O! X  H
漏洞Rank:12 0 p. C9 n  T, v5 u- b

) E  a6 u, a, G! g确认时间:2012-12-04
; c7 F) S1 }. L, @& g! f  y/ F+ [+ d' v8 N4 H7 b8 P: ?9 K
厂商回复:" U* i6 W5 F7 u# f
, Z6 V3 Y9 ^- d+ W  c7 L
CNVD确认漏洞情况,已经转由CNCERT在4日联系建设银行处置,待后续处置反馈。
8 Y0 y8 C2 o1 o 3 T5 }, S8 ?! z3 d
同时,近期此类订单篡改(或支付篡改)漏洞在一些网上商城或支付网站频发,对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
- U! F$ h1 [2 P; Z  l
( a0 I! X- B3 W7 P" V) ~按部分影响完整性、可用性进行评分,基本危害评分6.42(中危),发现技术难度系数1.1,涉及行业或单位影响系数1.7,综合rank=12.00
1 x* e, U- C+ ?& q" {) K/ s
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表