Linux + Firefox 登陆网上银行 (五一长假巨献)

contion

原帖由 qsblj 于 2006-5-12 13:58 发表
1：农行的网上银行，转帐是不需要手续费的。（不论是否异地，或者跨行）
2：浦发的东方卡，在全国的ATM上提款也是不需要任何手续费的。 （不论是否异地，或者跨行）

1. 目前确实是这么执行的，但是农行没有明确此项业务的资费标准，也就是说，他们随时可以收费。
目前在资费标准中有明确网上本异地跨行转账免费的只有兴业银行的兴业e卡虚拟卡，当然，只是全国大部分中心城市免费而已。到账速度也远比农行快。具体可参见兴业银行网站。
2. 确实如此，东方借记卡很不错，但是很遗憾，厦门没有浦发分支机构，我只能退而求其次，用光大银行厦门市分行的阳光卡，同城跨行取款免手续费。

LinuxServer

原帖由 contion 于 2006-5-11 12:02 发表


开玩笑，如果有抓屏木马或者后门软件呢？
从技术上讲，软键盘的安全性比“安全密码控件”差。
到目前为止，所谓的“网上银行被入侵”基本上都是发生在客户端，即用户输入的用户名/密码在尚未传输之前就被按 ...

你没有搞清楚吧?
如果是图片式的随机提示呢?
并且提示内容随机.将问题与答案一起放在图片上的文字提示.
然后等用户输入这些内容后才确定用户的输入是可信的.
这样也很搞笑吗?安全性也差吗? 你HOOK都不知道什么时候用户的输入是正确的.用户是什么时候输入密码.
根本就没有POST的信息.POST的密码包含在很杂的数据里面.

比如:
请按以下格式输入密码:"我爱我家:我不想输入我的密码:[$我的密码],我也不想输入我的帐号:[我的帐号].但是只要我输入这个字符串.我就能登陆.只用我的密码与帐号?哪怎么能登陆呢?"
验证信息:
输入上面的一段话.

这个时候.你的HOOK你HOOK出来密码是什么吗?
并且如果多提示几次的话.安全性会更高.

我提示几次后才能进入.
并且什么时候进入由服务器随机确定.
提示内容也由服务器随机确定.
你能破解吗?

contion

楼上的，我们假设“抓屏+按键木马”能在你打开网上银行并准备登录时抓取屏幕录像、记录键盘消息，并且忽略录像文件大小的问题，你说攻击方能不能根据“随机图片”提示的随机输入格式，例如“我爱我家:我不想输入我的密码:[$我的密码],我也不想输入我的帐号:[我的帐号]”和用户的键盘消息或者软键盘鼠标点击轨迹得到正确的用户名/密码？

另外，我并没有讨论密码开始传输后的问题。传输一般都是128位或更高的SSL，很难破解。

LinuxServer

原帖由 contion 于 2006-5-12 16:40 发表
楼上的，我们假设“抓屏+按键木马”能在你打开网上银行并准备登录时抓取屏幕录像、记录键盘消息，并且忽略录像文件大小的问题，你说攻击方能不能根据“随机图片”提示的随机输入格式，例如“我爱我家:我不想输入我 ...

如果再加几层验证呢?并且随机采用图片或者文字呢?

验证图片的个数不确定.
验证文字的多少不确定.
验证码不确定.
全部保存在服务器上.
你看你能写出这么强的程序.把我要的数据全部得到.

我就不信他的程序能写的这么完善.

如果你能..你可以试试.
改天我写一个测试页面请大家破解一下.
一起完善这个想法.

contion

原帖由 LinuxServer 于 2006-5-12 16:55 发表
如果再加几层验证呢?并且随机采用图片或者文字呢?

多加几层验证只是增加抓屏录像和键盘消息监听的时间长度而已，因为不管验证有多少层，通过以后必须开始请求一个正确的地址(网银主界面)，这时候监视就可以停止了。随机图片或者文字没有用，因为这还是会显示在屏幕录像中。

当然，我说的只是理论上不安全。因为这种抓屏录像很容易被察觉，而且产生的录像文件必然比较大，不适合大面积撒网。

maluyao

不过经过我的分析，工行招行的随机图片都和加密数据无关。
密文也不是特别复杂。但我(能力有限)暂时还分析不出算法。

https 现阶段可以认为是可靠的协议，当作不可攻破是问题不大的。
但是从Openssl 三天两头发补丁包的现象上，也可以知道绝对不是无懈可击。

LinuxServer

原帖由 contion 于 2006-5-12 17:05 发表


多加几层验证只是增加抓屏录像和键盘消息监听的时间长度而已，因为不管验证有多少层，通过以后必须开始请求一个正确的地址(网银主界面)，这时候监视就可以停止了。随机图片或者文字没有用，因为这还是会显示在 ...

如果是这样的话,哪么你每天看图好了.并且你怎么确定在什么时候确定你要图呢?
难道你每秒种发一次图?
建立你先了解一下AJAX.我将数据通过客户端的JS代码加密直接发送.
如果我显示的是不完全的显示验证信息呢?他抓屏只能抓到其中的很小的一部.
.这样不就可以避免你所担心的问题?
当然安全没有绝对的.但是不安全也是相对的.

[ 本帖最后由 LinuxServer 于 2006-5-12 17:20 编辑 ]

LinuxServer

原帖由 contion 于 2006-5-12 17:05 发表


多加几层验证只是增加抓屏录像和键盘消息监听的时间长度而已，因为不管验证有多少层，通过以后必须开始请求一个正确的地址(网银主界面)，这时候监视就可以停止了。随机图片或者文字没有用，因为这还是会显示在 ...

不家请求难道不可以多次发?
我本来就是请求的正确的地址.一直是正确的.

contion

不要一直AJAX，前些年我本人一直都是搞这个的，那时候没有Google Map，也没有AJAX这个名称。

contion

原帖由 LinuxServer 于 2006-5-12 17:15 发表
并且你怎么确定在什么时候确定你要图呢?

最大的问题就在于这里，攻击者不知道什么时候开始监视比较合适。开始请求网银地址即开始监视，这不好，因为用户可能打开网银首页之后，过了5分钟才开始输入账号/密码。
比较合理的可能是在网银登录窗口被激活之后，第一次键盘事件发生时开始监视，当焦点离开窗口时暂停，窗口重新激活后，并且在又发生了键盘事件，恢复监视。

何时结束监视这倒是很简单，分析一下网银主界面可以了。

[ 本帖最后由 contion 于 2006-5-12 17:32 编辑 ]