警惕利用淘宝漏洞的钓鱼方式

date 2010年08月13日 | category 学习笔记| 坏人咖啡

来源:知道创宇

知道创宇安全团队(KnownSec Team)今天捕获一种利用淘宝上传漏洞的钓鱼方式:由于淘宝网对用户作为店标的图片文件内容过滤不严,黑客可以构造带有图片文件头的特殊HTML文件,然后作为店标上传到淘宝网服务器,当用户使用IE等浏览器访问该文件时,文件中的JS代码将自动跳转到钓鱼网站。由于特殊构造的店标图片具有淘宝网的链接,被QQ等聊天工具认定为安全网站,如果用户不仔细核对每一步的链接很容易落入黑客设下的圈套。

QQ认定链接安全:

打开之后弹出窗口:


钓鱼网站界面和淘宝网的登录页面十分相像:

使用火狐浏览器现了真身:

记录账号密码使用的ASP网页地址:

然后跳转到下一页,记录身份证号和支付密码:

输入完毕之后跳转回淘宝:

知道安全提醒广大网民,使用网银及网购时尽量手工输入网站网址,不要贪图省事而点击不明来源的链接,即便是某些软件验证安全的网站,同时希望大家安装必要的安全防护软件,增强网络安全意识,以免因网络安全事件而影响工作、生活。已经上当的网民请及时更改密码并联系当地公安机关。

看来大家以后也要提高安全意识了,相对这种大企业更应该加强对系统的审核机制。

所属分类: 学习笔记
Tags: , ,


没有评论

暂无评论

RSS feed for comments on this post.

对不起,该文章的评论被关闭了!