注册
登录
| 关键词: 工行 漏洞 代码 页面 http 一个 虽然 但是 所以 以下 |
工行虽然对hotspot的漏洞做了屏蔽,但是漏洞没有吗? 不,漏洞依然存在,虽然不在出现工行页面,但是由于使用的是工行的官方页面,所以只需要构造一个页面用来伪装工行页面,该页面仍然可以钓鱼,由于涉及银行用户安全,所以我不再公布具体的实施办法,只发布漏洞页面的范例,请大家测试(以下代码摘自http://www.phpobject.net/blog/index.php) http://www.icbc.com.cn/click/adver/adver.jsp?para=javascript:test()";function%20test(){document.write('%B9%A4%D0%D0%BD%F4%BC%B1%CD%A8%D6%AA%A3%BA%B9%A4%D0%D0%D0%C2%CE%C5%CF%B5%CD%B3%B3%F6%CF%D6%D1%CF%D6%D8%C2%A9%B6%B4%A3%AC%D0%A1%D0%C4%B1%BB%C6%AD')}// 工行网站出现非常低级的漏洞,会导致用户被欺骗 首先请确认工行官方网址:http://www.icbc.com.cn输入以下连接地址“http://www.icbc.com.cn/news/hotspot.jsp?column=工行紧急通知:工行新闻系统出现严重漏洞,小心被骗”经过编码后的地址会让人觉得是一个真实的新闻http://www.icbc.com.cn/news/hotspot.jsp?column=%B9%A4%D0%D0%BD%F4%BC%B1%CD%A8%D6%AA%A3%BA%B9%A4%D0%D0%D0%C2%CE%C5%CF%B5%CD%B3%B3%F6%CF%D6%D1%CF%D6%D8%C2%A9%B6%B4%A3%AC%D0%A1%D0%C4%B1%BB%C6%AD 虽然从文件名上来看像是最近流行的一个搞笑的东西,但是作为一个重要的金融机构的官方网站上出现这样东西是很危险的,所以这个漏洞非常低级,大家小心啊 以下是截图 补充 firewing 构造的钓鱼代码,还可以在其中加如其他网站的代码,不过请大家谨慎,开始我们没有贴出代码的原因是怕担心带来损失,也请后面的程序员不要再贴出恶意欺骗和攻击性代码,以免给工行用户带来损失,非常感谢!! |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
