- 标题:工商银行出现低级漏洞,可用于网络钓鱼
- 来自:http://blog.csdn.net/hcat1999/archive/2006/12/31/1470770.aspx
- 更新时间:2007年1月3日
- 中国工商银行网站最近遭到黑客攻击,黑客还把攻击程序公布大众,不少网民照此方法更改工行网站均成功。
- 事发后,虽然对工行的业务并无什么太大的影响,股票照样上涨,但有网民质疑:这样的银行上市了又能怎样?不健全的安全体系只能让顾客失望!
-
- (这是张很经典的图片,可惜老萨已经不在了)
- 首先请确认工行官方网址:http://www.icbc.com.cn
- 输入以下连接地址“http://www.icbc.com.cn/news/hotspot.jsp?column=工行紧急通知:工行新闻系统出现严重漏洞,小心被骗”
- 经过编码后的地址会让人觉得是一个真实的新闻。
- 虽然从文件名上来看像是最近流行的一个搞笑的东西,但是作为一个重要的金融机构的官方网站上出现这样东西是很危险的,所以这个漏洞非常低级。
- 目前该漏洞已被工行修补,但是其它地方仍有类似的漏洞!
- http://www.icbc.com.cn/click/adver/adver.jsp?para=javascript:test()";function%20test(){document.write('%B9%A4%D0%D0%BD%F4%BC%B1%CD%A8%D6%AA%A3%BA%B9%A4%D0%D0%D0%C2%CE%C5%CF%B5%CD%B3%B3%F6%CF%D6%D1%CF%D6%D8%C2%A9%B6%B4%A3%AC%D0%A1%D0%C4%B1%BB%C6%AD')}//
- adver.jsp转向para指向的地址,但是para没有被检查,所以可以执行任意js代码,也就是说这里也可以用于网络钓鱼!
- 这对于一个银行网站而言是多么的危险,而且到2007年1月3日17时为止,该漏洞依然存在。
- 甚至可以说,这样的漏洞还在工行网站的其它地方存在,如果不系统地修复漏洞的话,将造成无法估量的后果。
- 评论:(点击此处参与评论)
- ----------