乌云曝招商银行网银存在漏洞
国内知名互联网漏洞平台乌云表示,招商银行的网银存漏洞,其网页版、个人电脑端、手机 APP 均受影响,黑客可以通过此漏洞窃取个人信息。不过,招行昨天回应称,客户如果正常使用招行网银,不会导致信息泄露和资金损失。
昨天,乌云漏洞平台指出,招商银行网银存在定向 XSS 漏洞,通杀网页、PC 端及手机 APP,该漏洞可定向窃取信息钓鱼种马。互联网业内人士对此解释称,此漏洞即招行网银某处存储型 XSS 漏洞,黑客可以通过此漏洞,对招行客户进行“钓鱼”、偷密码,并且可以看到账号余额。不过,招商银行昨天对记者称,招行网银有 USBKey、动态口令等安全措施的严密保护,客户正常使用不会导致信息泄露和资金损失,请客户放心使用。
据悉,XSS 即跨站脚本攻击,攻击分成两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞;另一类则是来自外部的攻击,主要指自己构造 XSS 跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。
事实上,网银和手机银行的安全已经引发业内关注,尤其是移动支付的兴起,越来越多的人开始使用移动银行,最新数据显示,我国手机网民已达 5.27 亿。
日前一份《2014 年第二期中国移动支付安全报告》指出,国产多个手机银行客户端有多处可被黑客利用的安全隐患,但这些隐患均非银行本身漏洞,而是客户在使用中被不法分子利 用。其中,比较容易出现的漏洞包括黑客假冒银行服务端,实施“中间人”攻击以及利用安卓系统漏洞,渗透网银客户端等。
漏洞概要关注数(129) 关注此漏洞
缺陷编号: WooYun-2014-70306
漏洞标题: 招商银行网银定向 xss 通杀网页、PC 端及手机 APP(可定向窃取信息钓鱼种马)
相关厂商: 招商银行
漏洞作者: 肉肉
提交时间: 2014-07-30 15:30
漏洞类型: xss 跨站脚本攻击
危害等级: 高
漏洞状态: 厂商已经确认
漏洞来源: http://www.wooyun.org
Tags 标签: 无
漏洞详情
披露状态:
2014-07-30: 细节已通知厂商并且等待厂商处理中
2014-07-30: 厂商已经确认,细节仅向厂商公开
简要描述:
招商银行网银某处存储型 xss,网页版,PC 客户端,手机客户端均受影响。不敢用网银了T_T
漏洞 hash:8f449b9002a30c6529fff3ad39fb7cef
漏洞回应
厂商回应:
危害等级:中
漏洞 Rank:10
确认时间:2014-07-30 21:27
厂商回复:
谢谢对招商银行安全的关注
最新状态:
2014-07-30:已处理完毕
2014-07-31:相关漏洞已由 7 月 30 号晚 8 点左右已修复完毕。