工行虽然对hotspot的漏洞做了屏蔽,但是漏洞没有吗?
不,漏洞依然存在,虽然不在出现工行页面,但是由于使用的是工行的官方页面,所以只需要构造一个页面用来伪装工行页面,该页面仍然可以钓鱼,由于涉及银行用户安全,所以我不再公布具体的实施办法,只发布漏洞页面的范例,请大家测试(以下代码摘自http://www.phpobject.net/blog/index.php)
工行网站出现非常低级的漏洞,会导致用户被欺骗
首先请确认工行官方网址:http://www.icbc.com.cn
输入以下连接地址
“http://www.icbc.com.cn/news/hotspot.jsp?column=工行紧急通知:工行新闻系统出现严重漏洞,小心被骗”
经过编码后的地址会让人觉得是一个真实的新闻
http://www.icbc.com.cn/news/hotspot.jsp?column=%B9%A4%D0%D0%BD%F4%BC%B1%CD%A8%D6%AA%A3%BA%B9%A4%D0%D0%D0%C2%CE%C5%CF%B5%CD%B3%B3%F6%CF%D6%D1%CF%D6%D8%C2%A9%B6%B4%A3%AC%D0%A1%D0%C4%B1%BB%C6%AD
虽然从文件名上来看像是最近流行的一个搞笑的东西,但是作为一个重要的金融机构的官方网站上出现这样东西是很危险的,所以这个漏洞非常低级,大家小心啊
以下是截图
补充
firewing 构造的钓鱼代码,还可以在其中加如其他网站的代码,不过请大家谨慎,开始我们没有贴出代码的原因是怕担心带来损失,也请后面的程序员不要再贴出恶意欺骗和攻击性代码,以免给工行用户带来损失,非常感谢!!
firewing 发表于2006-12-31 16:53:28 IP: 219.135.147.*
这样就可以做钓鱼了。看你官方网站还怎么安全。
还官方网站呢。还安全没漏洞呢。
以上摘自CSDN: http://blog.csdn.net/hcat1999/archive/2006/12/31/1470770.aspx
此漏洞虽暂时被堵住,且看所谓官方的解释: 真是滑天下之大稽
http://www.icbc.com.cn/bulletin/detail_bulletin.jsp?column=%D6%D8%D2%AA%B9%AB%B8%E6&infoid=1167559320100&infotype=CMS.STD
|
|
近日,我行发现个别不法分子将工行网页下载并存储在自己电脑后进行页面信息修改、拷贝后在某些网上论坛进行传播。对恶意修改我行网站的行为,我行表示谴责并保留进一步追究其责任的权利,同时提醒广大客户,这种在客户端的页面修改并没有对我行网站进行页面修改,我行网站安全没有受到任何影响,望大家放心使用工行网上银行,注意防范风险,不要随意传播非法链接及修改后的页面。
|
稍有点技术尝试的人都知道,这是修改本地页面吗,这是最简单的脚本注入攻击!恶意者可以利用此骗取用户资料,甚至钓鱼!!
但漏洞真的就暂时没有了,非也,且看再发现的漏洞!
http://www.icbc.com.cn/click/adver/adver.jsp?para=javascript:alert('%BF%B4%BF%B4%B9%A4%D0%D0%C2%A9%B6%B4%2C%CA%C7%CE%DE%B4%A6%B2%BB%D4%DA%2C%D4%D9%BF%B4%CB%F9%CE%BD%B9%D9%B7%BD%BD%E2%CA%CD%2C%BF%C9%CE%BD%B5%CD%BC%AB%D6%AE%BC%AB%21');window.location.href="http://www.icbc.com.cn";
还是ICBC的官方网址,但把打开该地址呢?
有图为证:
做为上市银行,不应推卸责任,置广大用户的利益与不顾,而是该正视自己的问题,真正为广大用户着想!!!