首页 > IT业界 > 正文

警惕利用淘宝上传漏洞的钓鱼方式

2010-08-22 19:47 来源:网络

  知道创宇安全团队(KnownSec Team)今天捕获一种利用淘宝上传漏洞钓鱼方式:由于淘宝网对用户作为店标的图片文件内容过滤不严,黑客可以构造带有图片文件头的特殊HTML文件,然后作为店标上传到淘宝网服务器,当用户使用IE等浏览器访问该文件时,文件中的JS代码将自动跳转到钓鱼网站。由于特殊构造的店标图片具有淘宝网的链接,被QQ聊天工具认定为安全网站,如果用户不仔细核对每一步的链接很容易落入黑客设下的圈套。

 

QQ认定链接安全:

警惕利用淘宝漏洞的钓鱼方式



打开之后弹出窗口:

警惕利用淘宝漏洞的钓鱼方式


钓鱼网站界面和淘宝网的登录页面十分相像:

警惕利用淘宝漏洞的钓鱼方式

#p#副标题#e#
使用火狐浏览器现了真身:

警惕利用淘宝漏洞的钓鱼方式

#p#副标题#e#
记录账号密码使用的ASP网页地址:

警惕利用淘宝漏洞的钓鱼方式



然后跳转到下一页,记录身份证号和支付密码:

警惕利用淘宝漏洞的钓鱼方式


输入完毕之后跳转回淘宝:

警惕利用淘宝漏洞的钓鱼方式



  知道安全提醒广大网民,使用网银及网购时尽量手工输入网站网址,不要贪图省事而点击不明来源的链接,即便是某些软件验证安全的网站,同时希望大家 安装必要的安全防护软件,增强网络安全意识,以免因网络安全事件而影响工作、生活。已经上当的网民请及时更改密码并联系当地公安机关。

  看来大家以后也要提高安全意识了,相对这种大企业更应该加强对系统的审核机制。#p#副标题#e#

文章内容来源于网络,不代表本站立场,若侵犯到您的权益,可联系多特删除。(联系邮箱:[email protected]