烏云曝招商銀行網銀存在漏洞

        國內知名互聯網漏洞平臺烏云表示，招商銀行的網銀存漏洞，其網頁版、個人電腦端、手機 APP 均受影響，黑客可以通過此漏洞竊取個人信息。不過，招行昨天回應稱，客戶如果正常使用招行網銀，不會導致信息泄露和資金損失。

        昨天，烏云漏洞平臺指出，招商銀行網銀存在定向 XSS 漏洞，通殺網頁、PC 端及手機 APP，該漏洞可定向竊取信息釣魚種馬。互聯網業內人士對此解釋稱，此漏洞即招行網銀某處存儲型 XSS 漏洞，黑客可以通過此漏洞，對招行客戶進行“釣魚”、偷密碼，并且可以看到賬號余額。不過，招商銀行昨天對記者稱，招行網銀有 USBKey、動態口令等安全措施的嚴密保護，客戶正常使用不會導致信息泄露和資金損失，請客戶放心使用。

        據悉，XSS 即跨站腳本攻擊，攻擊分成兩類，一類是來自內部的攻擊，主要指的是利用程序自身的漏洞；另一類則是來自外部的攻擊，主要指自己構造 XSS 跨站漏洞網頁或者尋找非目標機以外的有跨站漏洞的網頁。

        事實上，網銀和手機銀行的安全已經引發業內關注，尤其是移動支付的興起，越來越多的人開始使用移動銀行，最新數據顯示，我國手機網民已達 5.27 億。

        日前一份《2014 年第二期中國移動支付安全報告》指出，國產多個手機銀行客戶端有多處可被黑客利用的安全隱患，但這些隱患均非銀行本身漏洞，而是客戶在使用中被不法分子利 用。其中，比較容易出現的漏洞包括黑客假冒銀行服務端，實施“中間人”攻擊以及利用安卓系統漏洞，滲透網銀客戶端等。

        漏洞概要關注數(129) 關注此漏洞

缺陷編號： WooYun-2014-70306

漏洞標題： 招商銀行網銀定向 xss 通殺網頁、PC 端及手機 APP（可定向竊取信息釣魚種馬） 

相關廠商： 招商銀行

漏洞作者： 肉肉

提交時間： 2014-07-30 15:30

漏洞類型： xss 跨站腳本攻擊

危害等級： 高

漏洞狀態： 廠商已經確認

漏洞來源： http://www.wooyun.org

Tags 標簽： 無

        漏洞詳情

        披露狀態：

2014-07-30： 細節已通知廠商并且等待廠商處理中
2014-07-30： 廠商已經確認，細節僅向廠商公開

        簡要描述：

招商銀行網銀某處存儲型 xss，網頁版，PC 客戶端，手機客戶端均受影響。不敢用網銀了T_T

漏洞 hash：8f449b9002a30c6529fff3ad39fb7cef

版權聲明：轉載請注明來源 肉肉@烏云

        漏洞回應

        廠商回應：

危害等級：中

漏洞 Rank：10

確認時間：2014-07-30 21:27

        廠商回復：

謝謝對招商銀行安全的關注

        最新狀態：

2014-07-30：已處理完畢

2014-07-31：相關漏洞已由 7 月 30 號晚 8 點左右已修復完畢。