当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-015848

漏洞标题:中国邮政储蓄个人网上银行惊现命令执行

相关厂商:中国邮政

漏洞作者: 疯狂

提交时间:2012-12-10 17:14

修复时间:2013-01-24 17:15

公开时间:2013-01-24 17:15

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-12-10: 细节已通知厂商并且等待厂商处理中
2012-12-11: 厂商已经确认,细节仅向厂商公开
2012-12-21: 细节向核心白帽子及相关领域专家公开
2012-12-31: 细节向普通白帽子公开
2013-01-10: 细节向实习白帽子公开
2013-01-24: 细节向公众公开

简要描述:

as title

详细说明:

1.jpg

漏洞证明:

4.jpg


3.jpg


2.jpg


修复方案:

问剑心吧

版权声明:转载请注明来源 疯狂@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2012-12-11 14:11

厂商回复:

CNVD确认漏洞情况,已转由CNCERT通报银行业信息化主管部门处置。
按通用软件漏洞进行评分,rank 6

最新状态:

暂无

漏洞评价:

评论

这些评论似乎很乌云~~~思密达
  1. 2012-12-10 23:12 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    洞主在检测银行时主页挂了一句至理名言:“通通不许动,钱是国家的,命是自己的!”洞主下线后后,其中一个新来的徒弟(硕士文凭)说,老大,我们赶快数一下抢了多少。洞主(本科文凭)说:“你傻啊?这么多,你要数到什么时候啊?今天晚上看新闻不就知道了吗。”----这就叫工作经验,这年头工作经验比学历更重要!洞主下线后,行长说,赶紧报案!主任刚要走,行长急忙说:“ 等等!把我们上次私自挪用的那五百万也加上去!”主任说:“要是洞主每个月都来检测一回就好了”。工作很枯燥,快乐最重要!第二天新闻联播报道银行被抢了一亿,洞主数来数去只有两千万,骂道:“妈的,老子拼了一条命才抢了两千万,银行行长动动手指头就赚了八千万,看来这年头还是要读书啊!”银行行长看到新闻联播后激动滴对主任说:“妈的,你小子可以,胆儿够肥的啊......”主任笑而不语,如卸重负暗自心想:“妈的,终于通过洞主把买非死不可股票的窟窿补上了。”

  1. 2012-12-10 17:19 | kelon ( 实习白帽子 | Rank:73 漏洞数:9 )

    刷钱?开门,查水表啦

  2. 2012-12-10 17:38 | xsjswt ( 普通白帽子 | Rank:156 漏洞数:49 | 我思故我猥琐,我猥琐故我强大)

    @kelon 刷钱?开门,我们想用你家的卡车拉一下化肥

  3. 2012-12-10 17:41 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    霸气!膜拜。。。

  4. 2012-12-10 18:13 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    这个真的很霸气 。。给银行再次敲响警钟啊

  5. 2012-12-10 18:30 | 马杀鸡 ( 路人 | Rank:21 漏洞数:5 | 作为一匹勇敢的马,杀鸡是必不可少的)

    威武

  6. 2012-12-10 19:15 | 逝情 ( 实习白帽子 | Rank:36 漏洞数:11 | 自己选择的路,就算跪着也要走完~!)

    元方你肿么看~ 我看,可以刷钱钱~

  7. 2012-12-10 21:39 | adwin ( 普通白帽子 | Rank:112 漏洞数:11 | 小菜请多指教。)

    ma

  8. 2012-12-10 23:12 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    洞主在检测银行时主页挂了一句至理名言:“通通不许动,钱是国家的,命是自己的!”洞主下线后后,其中一个新来的徒弟(硕士文凭)说,老大,我们赶快数一下抢了多少。洞主(本科文凭)说:“你傻啊?这么多,你要数到什么时候啊?今天晚上看新闻不就知道了吗。”----这就叫工作经验,这年头工作经验比学历更重要!洞主下线后,行长说,赶紧报案!主任刚要走,行长急忙说:“ 等等!把我们上次私自挪用的那五百万也加上去!”主任说:“要是洞主每个月都来检测一回就好了”。工作很枯燥,快乐最重要!第二天新闻联播报道银行被抢了一亿,洞主数来数去只有两千万,骂道:“妈的,老子拼了一条命才抢了两千万,银行行长动动手指头就赚了八千万,看来这年头还是要读书啊!”银行行长看到新闻联播后激动滴对主任说:“妈的,你小子可以,胆儿够肥的啊......”主任笑而不语,如卸重负暗自心想:“妈的,终于通过洞主把买非死不可股票的窟窿补上了。”

  9. 2012-12-11 10:41 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @无敌L.t.H 哈哈 碉堡了

  10. 2012-12-11 11:09 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    8楼单口相声不错咬

  11. 2012-12-11 14:45 | 疯狂 ( 普通白帽子 | Rank:239 漏洞数:30 | 桃李春风一杯酒莲湖夜雨八年灯)

    人民币贬值的太厉害了,刷钱的洞才6分,我郁闷ing

  12. 2012-12-11 15:17 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @疯狂 的确啊

  13. 2012-12-11 15:34 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @xsser 要教育下cert,要以数据说话!用数据判断严重程度;不能光看是个通用软件漏洞@cncert国家互联网应急中心

  14. 2012-12-11 15:44 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @一刀终情 @cncert国家互联网应急中心 的确,漏洞不能看是通用软件的

  15. 2012-12-11 16:25 | cncert国家互联网应急中心(乌云厂商)

    @疯狂 @一刀终情 @xsser 为wooyun WYB着想,避免wooyun通货膨胀。

  16. 2012-12-11 23:12 | xiya ( 路人 | Rank:5 漏洞数:1 )

    要火。

  17. 2012-12-12 19:27 | 逝情 ( 实习白帽子 | Rank:36 漏洞数:11 | 自己选择的路,就算跪着也要走完~!)

    @cncert国家互联网应急中心 目测此解释很碉堡~

  18. 2012-12-31 14:18 | adwin ( 普通白帽子 | Rank:112 漏洞数:11 | 小菜请多指教。)

    @cncert国家互联网应急中心 碉堡。

  19. 2013-01-10 20:01 | Spy198x ( 路人 | 还没有发布任何漏洞 | 撸得一手好扳.)

    目测跨省.

  20. 2013-01-10 23:30 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    weblogic么?