漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2011-02844

漏洞标题：利用xss攻击某些ATM

相关厂商：各大银联ATM

漏洞作者： 结界师

提交时间：2011-09-19 15:07

修复时间：2011-09-19 15:08

公开时间：2011-09-19 15:08

漏洞类型：设计不当

危害等级：高

自评Rank：18

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

漏洞详情

披露状态：

2011-09-19： 积极联系厂商并且等待厂商认领中，细节不对外公开

2011-09-19： 厂商已经主动忽略漏洞，细节向公众公开

简要描述：

某些银行/银联的ATM功能慢慢强大起来，融入了很多的其他的如购物，购买水电，在线转账等等功能，但是功能的强大意味着安全问题的可能性也增加了，譬如利用xss就可能控制一些ATM机

详细说明：

某些ATM的复杂界面的实现，都是封装了浏览器做一个沙盒，某些情况可能可以跳出沙盒（Win环境），但是某些情况跳出比较难（Linux环境没有复杂的用户潜在接口），这个时候我们可以选择利用前端复杂的逻辑，譬如xss漏洞来做一些事情

漏洞证明：

似乎找到了一个xss，扰乱了界面展现，同时也是证明使用了HTML技术的

弹一个，哦，貌似是Linux的浏览器