记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

中国建设银行软键盘存在绕过风险

2015-08-21 17:25

建行的网银设计思想挺不错的,但是细节上还有不足,导致了安全风险。

详见证明。

漏洞证明:

建行网页版网银和其他银行不同,不依赖对键盘输入的保护,而是引导用户使用软键盘,试图从根本上解决键盘记录的威胁,但是依旧保留了切换至键盘输入的选项,并且没有对键盘记录器做任何对抗,导致轻易截取账号密码。

建行.png





软键盘方面,虽然建行对客户做了引导,但是自身软键盘保护有所不足,可以通过全屏覆盖99%透明窗口,截取鼠标消息并截图的方式截取用户密码。

为了明显,demo的窗口透明度为50%:

建行1.png



修复方案:

既然已经加载了控件,顺便对抗一下键盘记录呗

软键盘可以检测鼠标,将鼠标停留/点击的键隐藏


知识来源: www.wooyun.org/bugs/wooyun-2015-0114949

阅读:128546 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“中国建设银行软键盘存在绕过风险”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云