20070305 ICBC 工商银行 专家

20070305 ICBC 工商银行 专家

网络上看到，觉得有趣
中国建设银行CBC (Con-struction Bank of China)———"存不存？"
中国银行———BC(Bank of China)———"不存。"
中国农业银行-ABC (Agri-culture Bank of China)———"啊,不存！"
中国工商银行ICBC (Industry and Commercial Bank of China)———"爱存不存。"
招行是CMBC ———"存吗？？白痴！"
兴业银行CIB———"存一百。"
国家开发银行C D B(China Development Bank)———"存点吧！"
北京市商业银行:BCCB(Beijing City commercial Bank)———"白存存不？"
汇丰银行HSBC———"还是不存。"

还是工商银行最“牛”！
不过最牛的是人家外国的： 汇丰银行——(hsbc)——还是不存！！

分析:工行网站漏洞的钓鱼例子[修正]

作者:oldbug@newsmth
大家前面都看到了工行的这个漏洞演示,但是最可怕的不是这种简单的文本显示的问题,而是该网站似乎没有对最一般性的html注入式攻击做出什么预防,下面请看演示:已更新,包含测试页面和图

手工编辑一个文本文件(我们隐去了内容)，保存为html后不但可以伪造link。也可以直接伪造一个格式非常正规的输入表单，你输入了帐号密码之后，会被发送到黑客那里去。

以上只是一个简单的例子，对大多数关心网络安全的人士来说肯定不稀奇，不过这里还有很多非专业人士，所以还是演示一下提醒注意安全的好，呵呵
 
 
Re: 技术分析:工行网站漏洞的钓鱼例子 (分数: 0)
由 站点访客 于 Sunday, 12月31日 @ 中国标准时间
 <htm >
 <head > <title >test </title > </head >
 <body >
 <form action=" http://www.icbc.com.cn/news/hotspot.jsp [www.icbc.com.cn]" method="post" >
 <textarea cols=80 rows=8 name=column >
 <font color=blue >测试一下，呵呵，工行真烂 </font > <br >
点击 <a href="http://www.cnbeta.com" >这里 </a >访问新浪（而实际上访问的是cnbeta）
 </textarea >
 <input type=submit value="提交" >
 </form >
 </body >
 </html >
还要我手工转义，嘿嘿

阿猫的BLOG __谢先明
0+1的工作,矛与盾的生活,阴和阳的世界
 工行网站出现非常低级的漏洞，会导致用户被欺骗
工行网站出现非常低级的漏洞，会导致用户被欺骗

首先请确认工行官方网址：http://www.icbc.com.cn
输入以下连接地址
“http://www.icbc.com.cn/news/hotspot.jsp?column=工行紧急通知：工行新闻系统出现严重漏洞，小心被骗”
经过编码后的地址会让人觉得是一个真实的新闻
http://www.icbc.com.cn/news/hotspot.jsp?column=%B9%A4%D0%D0%BD%F4%BC%B1%CD%A8%D6%AA%A3%BA%B9%A4%D0%D0%D0%C2%CE%C5%CF%B5%CD%B3%B3%F6%CF%D6%D1%CF%D6%D8%C2%A9%B6%B4%A3%AC%D0%A1%D0%C4%B1%BB%C6%AD

虽然从文件名上来看像是最近流行的一个搞笑的东西，但是作为一个重要的金融机构的官方网站上出现这样东西是很危险的，所以这个漏洞非常低级，大家小心啊

DoNews（北京）12月31日消息（记者 徐新事）近日网上盛传中国工商银行网站被黑客攻击，网友在IM和论坛里传播“中国工商银行宣布破产”、“中国工商银行转让80%给**网站”等伪造的信息。此类恶搞信息造成网友认知混乱，认为中国工商银行网上银行不可靠，发起对网络银行安全性质疑。记者就此事采访资深网络专家龙如俊先生。龙如俊认为这只是常见的跨站式Xss处理不当造成，谈不上攻击，对工行网银安全不存在威胁。

　　龙如俊介绍到，几种常见Web站点不安全的编程漏洞包括密码漏洞、跨站脚本漏洞、不安全的存储漏洞和拒绝服务漏洞。此次中国工商银行网站的漏洞就是跨站脚本漏洞，实际上就是脚本人员对跨站式Xss处理不当。网友利用该漏洞，编辑特殊代码后得到网上传播的链接，但是对正常的网银交易不会产生任何影响。

　　龙如俊称跨站式Xss处理不当是常见的Bug，就是微软、雅虎、亚马逊等公司都出现过此类问题，也都难以避免这种现象。如Yahoo! Mail中采取了积极的防预措施来预防XSS。特别是其邮件站点在适当的上下文中将"javascript”转换成了"_javascript”，以阻止代码的执行。他说：“这并非重大故障，更谈不上是攻击，对工行网银安全不会存在任何威胁。”

历史博文

• 20081105 c# hook - 2009
• 20071030 monorails - 2008
• 0325 Tapioca .net xbox - 2006
• 乱七八糟猜想20银行卡收费－年费管理费 - 2005
• TortoiseSVN帮助－基本概念 - 2005