暴一个隐藏很久的工行网银BUG这个BUG能泄漏用户的私密信息（帝豪原创QQ16338301）

001 · 发表于 2011-4-28 10:53:17

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

本帖最后由 001 于 2011-4-30 08:44 编辑

利用工行暴露用户的预留信息（任何一个工行卡号不用输入密码就能获取预留信息），而预留信息是用户判定钓鱼网站的重要工具。不废话了来看看利用思路:
1.潜伏一个公司网络，获取路由权限或内网dns权限。
2.挂钓鱼网站在任意一台内部PC，并在路由（或DNS上）上做dns缓存转发将http://www.icbc.com.cn指向内网服务器ip（192.168.0.2）（备注：挂钓鱼站到公司内网更隐蔽更不易被网警发现）
3.用户购物或使用网银的时候将直接被引导到钓鱼网站，当用户输入卡号点下一步的时候卡号被发出到钓鱼者的网站后台，钓鱼者只需人工获取对应帐号对应的预留信息返回显示在钓鱼网站页面上给用户看，以骗取信任
4.完成支付密码被盗
这个不知该归类为漏洞还是归类为BUG，我5年前用工行网银的时候就发现了，在工行论坛发帖被删，给客服打电话也没见响应，其实这个BUG很多银行和支付平台也都有，预留信息是判定钓鱼网站的一个很重要的标准，现在连泄密都谈不上，直接暴露，而用户惯性相信有正确预留信息的才是真工行，如果一旦被钓鱼网站利用那么受害的将会有很多人。。。。。。

声明：只讨论信息安全勿用于非法用途。另：本人有关于这个BUG很好的解决方案欢迎银行和我联系

下面是一篇关于预留信息的报道
　　从天津市自考办获悉，天津市7月份自学考试网上报考工作已经开始，市自考办提醒广大自考生，在进行网上报考时，一定要在中国工商银行(www.icbc.com.cn)的“个人网上银行”上预留验证信息。

这是中国工商银行为帮助考生有效识别银行网站，防范不法分子以虚假银行网站进行网上诈骗的一项服务。
　　考生登录中国工商银行“个人网上银行”后，要预先录入一段文字（预留验证信息）。当考生在网上支付报考费时，网页上会自动显示考生预留的验证信息，以便确认该网站是否为真实的中国工商银行网站。如果网页上没有显示预留验证信息或显示的信息与考生预留的验证信息不符，应该立即停止交易，并拨打中国工商银行24小时客户服务热线95588咨询。

网路游侠 · 发表于 2011-4-28 11:03:57

思路不错，但是一般得获取内部网络的权限（路由、DNS）
并且，对自己人下手，太狠了……

xingyi · 发表于 2011-4-28 13:24:09

我一般是通过VM下的XP来网络交易的，而且每次都会重置。

浪剑仙客 · 发表于 2011-4-28 13:46:17

这个BUG可严重啦，安全不容忽视呀

001 · 发表于 2011-4-29 10:20:14

主要还是网银购物支付的时候输入任何卡号都能获取预留信息

001 · 发表于 2011-4-30 09:00:57

回复 xingyi 的帖子

被做了内网dns缓存转发以及泄漏了预留信息，再多虚拟机照样没用

xingyi · 发表于 2011-5-19 10:32:33

回复 001 的帖子

那如果是在家里PPPOE拨号上网的呢？

ygsn · 发表于 2011-7-15 13:33:42

是不是真的啊！

secbase · 发表于 2011-7-19 16:48:25

这个的主要思路前提还是要攻破内网，以内部人的身份便利找内部人下手，不过，预留信息的分析确实很好，的确危险。

		自动登录	找回密码
密码			注册