Linux + Firefox 登陆网上银行 (五一长假巨献)

LinuxServer

原帖由 contion 于 2006-5-12 17:25 发表
不要一直AJAX，前些年我本人一直都是搞这个的，那时候没有Google Map，也没有AJAX这个名称。

如果我出来一个字符框.不显示完全呢?
或者是一个FRAME不显示完全呢?
你抓屏有什么用?

LinuxServer

原帖由 contion 于 2006-5-12 17:27 发表


最大的问题就在于这里，攻击者不知道什么时候开始监视比较合适。开始请求网银地址即开始监视，这不好，因为用户可能打开网银首页之后，过了5分钟才开始输入账号/密码。
比较合理的可能是在网银登录窗口被激活 ...

不要老抓屏. 完全可以做到让抓屏无效.

superdebug

很好

nizvoo

用wine上ie好了,什么能用就用什么呢.

aroundall

您好，我们的网络银行目前基于IE来开发的，因为他牵涉到封闭系统协议的创建和安全控件的开发，我们一直以来也在尝试兼容其他的浏览器，但是这个开发的过程是需要时间的，我们已经把您的意见上传到我们的开发部门，谢谢您的意见，客户的需要是我们改进的动力，希望您继续支持我行。谢谢！

以上是招商银行给我的回复,haha

maluyao

问题的关键在于我们没有力量，如果能把加密协议分析出来，然后用上边的方法搞定，银行方面估计马上就会开发出支持Firefox 的东西了。否则，不知道等到什么年月。招行话谁然说得好听，但应该就是表面文章。

我刚刚吧工行和交行的dll 反汇编后都有几万行，一时分析不出来是怎么用的。

原帖由 aroundall 于 2006-5-15 16:28 发表
您好，我们的网络银行目前基于IE来开发的，因为他牵涉到封闭系统协议的创建和安全控件的开发，我们一直以来也在尝试兼容其他的浏览器，但是这个开发的过程是需要时间的，我们已经把您的意见上传到我们 ...

daaxiang

楼主是强人啊，支持啦

wander1234

其实
只要木马运行在ring0,
就能或得键盘输入,
毕竟密码也只是ascii字符的组合(没有使用中文)

再配合上com或其它技术, 获得帐号，密码也不是难事.

这只是我的想法，没有实践过，也没有仔细研究过

linux.sir

很好的文章!一定要顶.

zhangweibo

老马也曾经给我上过课,牛,支持一下