中国工商银行的网页存在风险
中国工商银行的网页存在风险,黑客可以伪造中奖信息之类的内容,诱使用户泄露自己的卡号和密码,以窃取用户银行卡号和密码。
漏洞表现在中国工商银行的网页对hotspot.jsp页面column函数的管理不善上,用户可以直接在中国工商银行的网页上写入文字,通过诱骗可能会使用户上当.因为前面的网址还是中国工商银行的官方网站
请点击以下连接查看:
http://www.icbc.com.cn/news/hotspot.jsp?column=欢迎来到cnbeta.com如果说这个网站存在问题,您相信么?
分析:工行网站漏洞的钓鱼例子[修正]
大家前面都看到了工行的这个漏洞演示,但是最可怕的不是这种简单的文本显示的问题,而是该网站似乎没有对最一般性的html注入式攻击做出什么预防,下面请看演示:已更新,包含测试页面和图
手工编辑一个文本文件(我们隐去了内容),保存为html后不但可以伪造link。也可以直接伪造一个格式非常正规的输入表单,你输入了帐号密码之后,会被发送到黑客那里去。
以上只是一个简单的例子,对大多数关心网络安全的人士来说肯定不稀奇,不过这里还有很多非专业人士,所以还是演示一下提醒注意安全的好,呵呵
点击 访问:测试页面
还要我手工转义,嘿嘿