天下网吧 >> 网吧天地 >> 网吧技术 >> 行业资讯 >> 正文

网络专家关于“工行网银被黑”权威解释

2007/1/2DoNews徐新事
  12月31日消息 近日网上盛传中国工商银行网站被黑客攻击,网友在IM和论坛里传播“中国工商银行宣布破产”、“中国工商银行转让80%给**网站”等伪造的信息。此类恶搞信息造成网友认知混乱,认为中国工商银行网上银行不可靠,发起对网络银行安全性质疑。记者就此事采访资深网络专家龙如俊先生。龙如俊认为这只是常见的跨站式Xss处理不当造成,谈不上攻击,对工行网银安全不存在威胁。

  龙如俊介绍到,几种常见Web站点不安全的编程漏洞包括密码漏洞、跨站脚本漏洞、不安全的存储漏洞和拒绝服务漏洞。此次中国工商银行网站的漏洞就是跨站脚本漏洞,实际上就是脚本人员对跨站式Xss处理不当。网友利用该漏洞,编辑特殊代码后得到网上传播的链接,但是对正常的网银交易不会产生任何影响。

  龙如俊称跨站式Xss处理不当是常见的Bug,就是微软、雅虎、亚马逊等公司都出现过此类问题,也都难以避免这种现象。如Yahoo! Mail中采取了积极的防预措施来预防XSS。特别是其邮件站点在适当的上下文中将"javascript”转换成了"_javascript”,以阻止代码的执行。他说:“这并非重大故障,更谈不上是攻击,对工行网银安全不会存在任何威胁。”

  至于为何出现该跨站式Xss漏洞,龙如俊称主要有两个原因。首先,HTML没有明确区分代码和数据;其次,程序在将用户数据发送回浏览器时没有进行有效的转义,这导致包含有引号的数据被放入页面中。

  “当前流行的Ajax技术对预防跨站式Xss漏洞方面有一定好处,”龙如俊说:“Ajax技术包含一个专用渠道XML链接,其中全是数据而没有代码。这样,就有可能让客户端AJAX引擎负责对字符串进行转义、检测不正确的值。”

  但龙如俊表示直到AJAX更为成熟或更为标准化,否则只会导致错误的编程和安全漏洞,毕竟Ajax技术只是web2.0中涌出新型技术还不够成熟。(完)

本文来源:DoNews 作者:徐新事

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行