当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-024838

漏洞标题:浙江省多家银行的自助机存在安全隐患

相关厂商:浙江农信

漏洞作者: 小泽

提交时间:2013-05-31 09:10

修复时间:2013-06-04 23:00

公开时间:2013-06-04 23:00

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:7

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-05-31: 细节已通知厂商并且等待厂商处理中
2013-06-04: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

今天我去了义乌农商银行办事时顺便玩了一下他们的电子银行自助服务机,我简单的测试了一下,没想到很简单就绕过了,而且还可访问外部网络。更令人担忧的是,我发现浙江银行都有使用这款自助服务机,如:义乌农商银行,杭州联合银行,浙江农村商业银行,浙江农村合作银行......

详细说明:

今天我去了义乌农商银行办事时顺便玩了一下他们的电子银行自助服务机,我简单的测试了一下,没想到很简单就绕过了,而且还可访问外部网络,可怕的是,我发现浙江好多银行都是用这款自助服务机---丰收e网,机子是浙江农信开发的,已经投放到浙江多家银行使用了,涉及好多家银行的安全,希望能好好处理。
具体操作:打开自助服务机主界面,选择电子银行,选择烟草选项,再再烟草网站里面找到联系客服,则跳出QQ客服聊天窗口,此时只要点击客服右上方的登陆QQ功能,即可利用其来到达腾讯网站或其它网站

漏洞证明:

psb (1).jpg


就是这款自动服务机

psb (2).jpg


修复方案:

你们比我专业

版权声明:转载请注明来源 小泽@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-06-04 23:00

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2013-05-31 11:21 | 白加黑 ( 路人 | Rank:20 漏洞数:7 )

    大哥,别这么恐怖可以吗??

  2. 2013-06-02 01:04 | hack雪花 ( 实习白帽子 | Rank:67 漏洞数:18 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    怎么绕过啊,求教洞主

  3. 2013-06-04 23:05 | YY-2012 ( 普通白帽子 | Rank:2763 漏洞数:484 | 意淫,是《红楼梦》原创的词汇,但后来演变...)

    我们已经经过图片卫星定位追踪到你的位置,请LZ明天到我局报道,谢谢!

  4. 2013-06-05 09:22 | 小森森 ( 路人 | Rank:11 漏洞数:2 | 不中二 枉少年)

    哎呀……忽略了……话说这个洞要是真被利用起来应该挺可怕的吧。。。比如伪造一个跟真实自助服务网页一模一样的钓鱼网页什么的。。。。

  5. 2013-06-05 09:23 | 小森森 ( 路人 | Rank:11 漏洞数:2 | 不中二 枉少年)

    咦。。洞主貌似对玩自助机很有研究……可惜两个洞都被忽略了。。

  6. 2013-06-05 10:33 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    在银行里都搞..胆子不小啊..目测xp系统.不知道补丁上了多少..