大家前面都看到了工行的这个漏洞演示,但是最可怕的不是这种简单的文本显示的问题,而是该网站似乎没有对最一般性的html注入式攻击做出什么预防,下面请看演示:已更新,包含测试页面和图手工编辑一个文本文件(我们隐去了内容),保存为html后 不但可以伪造link。也可以直接伪造一个格式非常正规的输入表单,你输入了帐号密码之后,会被发送到黑客那里去。
以上只是一个简单的例子,对大多数关心网络安全的人士来说肯定不稀奇,不过这里还有很多非专业人士,所以还是演示一下提醒注意安全的好,呵呵
访问:测试页面分析:工行网站漏洞的钓鱼例子[修正]
发布日期:2006-12-31 14:51:54
稿源:
作者:oldbug@newsmth
大家前面都看到了工行的这个漏洞演示,但是最可怕的不是这种简单的文本显示的问题,而是该网站似乎没有对最一般性的html注入式攻击做出什么预防,下面请看演示:已更新,包含测试页面和图手工编辑一个文本文件(我们隐去了内容),保存为html后 不但可以伪造link。也可以直接伪造一个格式非常正规的输入表单,你输入了帐号密码之后,会被发送到黑客那里去。
以上只是一个简单的例子,对大多数关心网络安全的人士来说肯定不稀奇,不过这里还有很多非专业人士,所以还是演示一下提醒注意安全的好,呵呵
访问:测试页面
大家前面都看到了工行的这个漏洞演示,但是最可怕的不是这种简单的文本显示的问题,而是该网站似乎没有对最一般性的html注入式攻击做出什么预防,下面请看演示:已更新,包含测试页面和图手工编辑一个文本文件(我们隐去了内容),保存为html后 不但可以伪造link。也可以直接伪造一个格式非常正规的输入表单,你输入了帐号密码之后,会被发送到黑客那里去。
以上只是一个简单的例子,对大多数关心网络安全的人士来说肯定不稀奇,不过这里还有很多非专业人士,所以还是演示一下提醒注意安全的好,呵呵
访问:测试页面© 2003-2025