谁在操纵网上工行玩“变脸”?
开篇:润墨网以专业的文秘视角,为您筛选了一篇谁在操纵网上工行玩“变脸”?范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
“是我中毒了,还是工行被黑了?!”2006年12月29日刚上班,网友小胡打开工商银行ICBC的网上银行准备转账,他惊讶地发现页面的正中赫然写着这样一句话:“啊!我被黑了!”难道是跳转到了“伪工行”网站?小胡仔细检查了URL地址,的确是.cn开头的没错。他立刻叫来了身边同事,同事们七嘴八舌地议论着:“哎呀,哪个黑客这么厉害,工行都黑得了!”“先别转账了,搞不好就中了黑客的招,银行卡被他盗去就糟了!”
就在同一天,很多网友的MSN、QQ都收到了工行的链接,《电脑爱好者》的兼职作者阿朱一天就收到了十几回,点开一看,页面中央大都写着诸如“对不起,本行即将破产,请转移存款!”、“中国工商银行转让80%给xx网站”的消息。有些网友甚至在论坛里贴上了这样的截图,并炫耀说是自己把工行网站给黑了,回帖的网友则钦佩不已地表示自己也想拜师学学这个“黑”招。
2006年12月30日工行招谁惹谁了
工行网站到底怎么了?在这个时候,用户还能在变了“脸”的网上银行进行查询、转账和缴费等操作吗?
通过观察网页地址,可以断定这的确是工行网上银行,但是细心的用户也会发现,工行的首页地址一直是.cn/index.jsp,而“变脸”的首页地址却是 .cn/news/hotspot.jsp?column=……在等号的后面还增加了一大串带有“%”的乱码,这个细节的差异让我们不得不思索,“黑客”是不是就在这里做了些手脚?
记者在接到举报的第一时间就咨询了《电脑爱好者》网络工程师史超,他将.cn/news/hotspot.jsp这个地址输入在地址框里,回车后,看到了右边这样一个页面。
他说:“这个网页应该就是被网友用来窜改的原始模板,可能是某个懂些网络编程技术的人发现了这个网页上存在设计漏洞,然后利用它跟工行开了个玩笑。网址中问号后面的column是程序员定义的一个参数,而等号后面的一大串好似乱码的编码则是赋予这个参数的值。这串编码是事先由一些正规文字(比如汉字、英文)通过特定的编程语言解析出来的。比如在等号后面写‘电脑爱好者’,一回车,这行中文字符就会被解析成带有%的一串编码,而与此同时,‘null’就会被汉字‘电脑爱好者’所替代。也就是说,工行网页的漏洞就在于允许用户更改链接地址,而且在技术上没有进行判断,致使程序执行了用户的非法操作。”
其实,这对很多网友来说并不陌生,网络中一直流传着用这种技巧来恶搞的网页。比如填写某人的名字之后,这个页面上的很多地方就会换成这个人名。爱好者网站也在2007年春节前后传递了类似的送祝福的网页。(.cn/school/zhuanti/cj/)
2006年12月31日不是致命问题就不值得一提
事发后的第3天,工行网站才贴出了《关于提示注意个别不法分子恶意修改并非法传播的通告》,声称“网站安全没有受到任何影响,望大家放心使用工行网上银行,注意防范风险,不要随意传播非法链接及修改后的页面。”
资深网络专家龙如俊先生解释说,这是个常见的跨站脚本漏洞(XSS漏洞)。常见的几种Web站点不安全的编程漏洞包括:密码漏洞、跨站脚本漏洞、不安全的存储漏洞和拒绝服务漏洞。XSS漏洞就是在Web站点未经适当过滤便显示在Html页面上时出现的漏洞,它允许(由用户输入的)任意Html显示在用户的浏览器中。网友就是利用该漏洞,编辑特殊代码后得到链接并在网上传播。不过,他说:“这并非重大故障,更谈不上是攻击,对工行网银安全不会存在任何威胁。”
真的是这样吗?工行的用户对这件事又是怎么看的呢?
2007年1月3日当“上帝”说不时
某IT公司文员小张告诉记者:“29日下班前,公司里一片哗然,说工商银行网站又被黑了!30日午休时大家又议论纷纷,说这其实是一个小的漏洞,很容易解决的。但是从29日下午6点到31日上午这个问题仍未解决。这在我们看来是很大的事件了,为什么工行在事发的时候没有立即给用户一个合理的解释?”
一位软件程序员接受记者采访时说:“很多人都说工行这次出的是小问题,可作为一个对安全要求非常高,网站设计应该非常严谨的公司,出现这样的情况拿一句是小问题就糊弄过去,实在让人难以信服。并且作为金融机构,除了在事实上保证客户的财产安全外,还应负有树立安全形象、推进网上业务发展的义务。我和同行们在一起经常研讨各个金融机构网站的安全性,大家评价工商银行的安全性最差。我觉得如果工行网站再不修改架构,迟早会被彻底黑一次的。”
据统计,即便是在相对发达的北京,网上支付业务的使用率也只有2.2%,而这一比率在美国几乎是100%。国人本就对网上银行的认知度不高,屡见报端的“账户资金被黑客网上盗走”等报道更是让很多人打消了触网的念头。以前银行还可以推说是客户的不良习惯才导致被盗发生,如今自己的网站也成了“黑客”的涂鸦板,怎么能让用户相信你的安全性?
2007年1月5日漏洞不容小视
《电脑爱好者》网络工程师史超说:“从技术上来说,这个漏洞还是会引起不安全的交易。对编程高手来说,在空白处设计一些需要输入银行账号和密码的提交框并非难事,这样就可以截获他人的账号和密码。”当然,高手也不会做这样的傻事,因为信息的流向在网络上是会有记录的,最终还是能顺藤摸瓜地找到他。可是如果是这样的一种情况呢?通过下面这张图我们可以看到,一些别有用心的人会把用户指引到站下的其他地方,用间接的方式获取用户信息,工行网站的漏洞恰恰是给这些人提供了一个“广告”平台!
记者就此咨询了“95588”工行电话银行的服务人员,服务人员承认漏洞的确存在,但已经被修复,没有造成安全问题,用户可以放心使用。当记者问到漏洞是什么时候被修复的,为什么没有通知用户时,服务人员说自己也不清楚。
小河沟里翻大船,工行除了在自己的网站上贴出公告提醒大家注意防范外,没有通过其他任何途径对外给予官方解释,即便在修复后也没有告知用户,让用户放心。如果你现在再点击网上流传的“变脸”页面,工行系统会告诉你你输入的信息有误。这次的事情已经过去,可是下次又将在什么时候开始?