Le blog de Paradis » 日志 » 工行网银的低级漏洞!
工行网银的低级漏洞!
天堂的眼睛 发表于 2007-01-03 19:13:55
一直听说工行的网上银行是国内使用最高的网银,其人性化和安全都是令大家满意的,虽然我没有用过,但是也知道,牛皮不是吹的,至少也得有点斤两才行。
最近网上疯传工行的新闻系统漏洞,不过今日再试已经修补好了,这里想简单聊一下。
第一次看到这个是去年的12月29日,当时在百度知道的银行业务乱窜,突然看到一篇名为“我黑了中国工商银行”的提问,进去一看,只是调用工行的新闻系统的JSP的字符输出而已;所以只是在下面回复了一段,我回复的原文如下: 这个只不过是JSP的小技巧,通过连接提供字符输出,没什么作用。 各位如果想要尝试,输入希望显示的字词,然后替换上面的http://www.icbc.com.cn/news/hotspot.jsp?column=之后的内容,就可以得到任何你想要的结果。
原本以为是一个小问题,不光是我,就连网络专家和工行自己也是这么认为的。
工行公告:关于提示注意个别不法分子恶意修改并非法传播的通告
网络专家:'工行网银被黑'事件不影响安全
后来看到网上的一些钓鱼案例,才想起可以构造页面伪装实施对用户钓鱼,这才发觉是个大问题。
工行再现低级漏洞,用户帐号面临钓鱼风险
其实工行的新闻JSP即便出现这样的小漏洞,也不算什么,不过如果被有心的人利用,也可能造成不好的影响。好在工行及时补救,已经修补漏洞了,再次访问就会提示:“信息有误! The page requested is error!”。
原本只是用来索引标题的函数,由于缺乏校验,却被用于这种地方,真不知道该说中国的网络高手强呢,还是说中国的网银弱呢?
希望其他的网银系统引以为戒才是……
相关日志:
收藏:
QQ书签
del.icio.us
订阅:
Google
抓虾
