核心提示,通过本文的提示,可达到如下目的:
1、木马制作者。可以绕过招行(以及同类的ActiveX)的保护,获取用户的帐户和密码(密文);
2、非IE使用者。可以达到使用其他系统其他浏览器登录招行(以及其他,比如腾讯财付通)的目的;
最近看到讨论招行ActiveX的贴子相当火热,一时手痒,作点研究。
首先,我要声明,招行的ActiveX并不安全,我已做出测试代码,可截取到用户的输入。不过出于安全考虑,我不会公开。另外,现在已经有木马可以做到,这并不是什么高难度问题。
现在,我们要讨论的是,不用二进制级的代码hack,只用一些简单的COM和javascript就可以达到目的。
我们先谈谈招行的登录流程,打开网页代码,可以看到,大概是这样的:
a)在ActiveX控件中输入卡号和密码,这时一般的没作过特殊处理的木马是截取不到键盘输入的;
b)用户提交时,页面脚本生成一个loginInfo(自定义javascript类),然后用一个函数(使用了XMLHTTP)提交这个类的数据。问题就出在这一步,我们知道,不管怎么样,卡号和密码都是要被提交到服务器的,只是被加密了而已。招行用的方法是“loginInfo.AccountNo = LoginForm.DebitCardNo_Ctrl.IValue;”这样的语句,DebitCardNo是控件的名字,IValue是被加密的,而且每次获取都用不同的种子加密了。
招行在这里
最低0.47元/天 解锁文章
105
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
