建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞

, M& q1 k# c3 L, M' _/ A. Z缺陷编号： WooYun-2012-15569

4 l" e4 p; Z' X0 r漏洞标题： 中国建设银行刷人民币漏洞

相关厂商： 建设银行

2 T' U6 g" E: v5 d/ M& T; v4 Z2 }. o: v漏洞作者： only_guest
0 C; Z! W1 d. e3 J1 \2 f1 b2 M/ P
/ v* i9 o& n; d& C4 X提交时间： 2012-12-03

3 V" J4 A) F4 u$ h: n0 Q漏洞类型： 设计缺陷/逻辑错误

危害等级： 高

漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理
5 `  p/ M4 M+ |0 v8 b+ {2 O& n
漏洞来源： http://www.wooyun.org

. j! y/ `0 ?  C( v0 ?/ |6 Z: HTags标签： 无
  O7 }6 o9 m* D7 j5 Y$ [& U" x. o
1 D! R$ C% ]$ c9 U& C6 v* G
! a+ J# w  g; r3 W
' Q( w# v3 G! [7 G1 Q20人收藏收藏
分享漏洞：
35
  r! O5 U/ y* `0 x1 z
: t* h; Q2 D/ C, o--------------------------------------------------------------------------------

+ Z% y! E3 {/ C; k漏洞详情
% ]7 o" o8 {: F8 d/ p' v* |
披露状态：
) W7 m/ ^. o( k3 a


" x2 g' u9 k. t; n2012-12-03： 细节已通知厂商并且等待厂商处理中
4 }* k& n+ a5 Z' \2 g+ T5 q2012-12-04： 厂商已经确认，细节仅向厂商公开
9 x1 z0 |3 a7 |0 k* S* b, F
/ w% o1 a- U. f% R, R' a1 L( E
简要描述：
1 A, a) f$ E7 [! {
& @4 O! A. m' E. q2 Q3 b偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
测试用的.你们收回去就是了.我是良民.
* Q. @3 B& w  R3 k! H* L, o& A
( ?8 y. i, C5 @: I% q+ p漏洞hash：47b3d87350e20095c8f314b7b6405711

版权声明：转载请注明来源 only_guest@乌云
3 X8 n3 @* _# X
--------------------------------------------------------------------------------
( z( Z5 P9 U) X* D; u9 |$ T- r- m2 i
漏洞回应
: G6 Q. J8 ]: S- V, l4 m1 r
9 O( A2 _; c& b$ Y- _0 |厂商回应：
1 m0 t* F' ~* C& ?4 V* V) t
# a- y, A5 \$ x5 r$ F! [危害等级：高
* p2 t  v, [2 y" d% {
4 F( j6 Q, {$ y; _5 H, D漏洞Rank：12

确认时间：2012-12-04

厂商回复：

CNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。
/ O0 z3 P+ t, ^7 K1 z" y
同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。

0 e. l$ @" P$ Y5 [+ I按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00
% E* v/ ~& D, M3 Z) W- m