建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞
+ F, u& H- y1 q: u! K* Q
缺陷编号： WooYun-2012-15569
; Q/ l# G2 W& T" ], Q9 A7 m
漏洞标题： 中国建设银行刷人民币漏洞

1 }/ H, ]( `# J$ y" ~相关厂商： 建设银行
9 t: V: E9 X4 I3 L9 s
7 s2 ~$ f1 A' s& ?" c3 [( I  }9 D6 D漏洞作者： only_guest

提交时间： 2012-12-03

2 ?$ N4 f! V# u" H漏洞类型： 设计缺陷/逻辑错误

( A8 b. h3 U1 x: i3 i$ r# S. B1 x+ n危害等级： 高

1 `. i" _! a" {( W漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org
1 M, l! P( v% y4 W% @! `
/ F- I0 A+ q9 _0 g5 VTags标签： 无


6 w2 T) F. }% F' p  ^
" y+ z) y1 z' {2 g20人收藏收藏
分享漏洞：
1 Q2 E; P9 @1 K: z, _35

* }4 R5 V2 ~! F; c: U6 O8 D  p( ^--------------------------------------------------------------------------------

9 S6 b0 A1 {, x. W. C漏洞详情
$ Q3 A6 f* e0 A- h$ v" Y
披露状态：


- u9 p9 u9 P# W* M- F* ]
: v  N- k9 `/ R/ |, ~$ h# ^2 `2012-12-03： 细节已通知厂商并且等待厂商处理中
2012-12-04： 厂商已经确认，细节仅向厂商公开
$ l0 i2 A8 A: B  ]
3 P1 N: o! v( w- m' @; R
! o( q1 q$ w8 d4 V7 F简要描述：

偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
测试用的.你们收回去就是了.我是良民.
) p: d* L: Y. E6 U+ N0 c3 U( U0 h
# l! }' q2 v" E! T) ]漏洞hash：47b3d87350e20095c8f314b7b6405711
7 Z, f9 @4 `  C( N2 e( Y
4 }7 {/ P% b" m1 O9 P版权声明：转载请注明来源 only_guest@乌云

" y6 O, W9 P4 o--------------------------------------------------------------------------------

" O  M) c/ N# E" k# a/ D/ Q漏洞回应
1 g- Z; _& B7 c$ \. A' C* H0 U
厂商回应：

# C7 z1 R  x; H( e危害等级：高
& X- ^# x2 I1 S" A8 W
. _3 P6 b" I+ Z" I$ ]漏洞Rank：12

确认时间：2012-12-04

2 G$ }& x# u6 m+ D( ?厂商回复：
, r' a) F' r; W5 U1 M) v6 S
; H, B% ]9 _2 e( F6 n0 R" oCNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。
/ y: Y( K2 g- j6 h1 L# v8 `8 R
( K! d; w7 m% R, b同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。

按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00