« 老天,web 3.0来了 | Main | virushuo的2006 »

所谓“工行被黑”,这个漏洞不简单

作者:virushuo 发表于 2006-12-31 12:12 最后更新于 2006-12-31 22:12
版权声明:按照by-nc-sa的cc协议可转载,拒绝采用“独家” 授权媒介(含网站和平面媒体)转载、引用、链接,除非获得本人许可。转载时请务必以超链接形式标明文章原始出处和作者信息及本声明。


昨天收到一堆连接,都是号称“工行要倒闭”之类。地址都是正牌的icbc.com.cn,而不是盗版的1cbc.com.cn。一时间众说纷纭,justso甚至在猜想工行是不是故意在拉流量放出来的烟雾弹。

其实,在工行的网站上随便点几个连接,就能发现出现类似的问题的地方很多,不光是大家广为流传的hotspot.jsp那个页面,index.jsp也有类似效果。欺骗性还是相当强的。

究其原因,其实很简单。为了让页面模版变的灵活,程序员决定在模版页面上加一个参数:column,这个参数的用途,是用来在页面上写出来栏目的名字。这样一来,“工行简介”这个页面,只要在地址里面写上“column=工行简介”,就ok了。其他栏目以此类推。灵活当然是很灵活了,但是,输入的内容竟然没有做任何校验,就直接显示在了页面上。实乃兵家大忌。程序员没经验,真是什么事情都可以发生的。

仅仅是被人换成个“工行倒闭”,然后发给别人看,这算不了什么大不了的,也就是好玩而已。但是这个地方竟然可以嵌入html代码,这可就太糟糕了。一旦可以用html代码,就不是修改一点点文字,而是可以改变页面的功能了。比如说,我们在另外一个站点放一个输入用户名密码的对话框,然后用iframe把这个页面嵌入到工行的网站上,然后用“新年礼品”之类的方式骗别人输入网上银行的账号密码,有多少人会上当?

历史上这种事情发生了很多次了。这种骗术看起来总比弄个假的1cbc.com.cn真实多了吧?所以,这不是个小问题,有可能引发严重的后果。工行最好还是赶快修补漏洞为上。

至于某著名it网站原创新闻说:“这不算什么漏洞”,着实是个笑话。不算漏洞,出了事情,你负责吗?媒体如果连起码的公信和正确都做不到,只会哗众取宠的话,不如关门算了。

相关文章:
blog comments powered by Disqus
CC License. Some rights reserved.
署名·非商业用途·保持一致
本站之所有未作特别说明的内容均使用 创作共用协议.
POWERED_BY_MT_3.2