인터넷 뱅킹 등 전자 결제 플랫폼에 대 한 보안을 방문 하는 웹에 대 한 간략 한 분석

머리말:이 기사는 지난 1 년의 시작에 그리고 보안상의 이유로 공개 되지 되었다. 지금 일부 온라인 은행은 상당히 높은 수준의 전송 제한 없이 보안 수준을 감소 동적 비밀 번호 카드를 사용 하 여 사용자를 조언 또는 USB 키, 전반적인 안전 율 향상 되었습니다. 하위 상거래의 대중화와 온라인 뱅킹 및 온라인 전자 결제는 점차적으로 허용 고 네티즌 사랑. 그러나 온라인 뱅킹 및 전자 상거래 지불 결제 플랫폼의 보안 낙관적 이다. 비록 인터넷 은행 걸릴 SSL 암호화 네트워크 패킷 도청 함으로써 암호의 차단 방지 하기 위해, 웹을 방지 하기 위해 암호를 방문 도난, 보안 제어 또는 동적 소프트 키보드 메서드, 온라인 뱅킹 하지만 고려는 아직 하지 포괄적, 우리 사용자 입력된 암호를 적절 한 방법으로 걸릴 수 있습니다. 다음은 4 개의 주요 은행의 대표: 중국, ABC, 중국 건설 은행, 중국 상업 은행의 산업 및 상업 은행: 투자 은행, 전자 지불 결제 플랫폼: 알리바바 Alipay, 예: 취약점 분석에 대 한 클라이언트 암호 등. 웹 보안 온라인 뱅킹 및 기타 전자 상거래 지불 결제 플랫폼을 방문 그래서 그것은 노력을 아끼지 않습니다 보안을 방문 하는 웹의 건설을 강화 하는 데 필요한 사용자의 경제적 이익을 직접 관련 있다. 또한, 모든 사용자가 디지털 인증서와 U-쉴드 보안 인증 제품, 그래서 "해커" 사용자의 로그인 비밀 번호와 결제 비밀 번호 임의 전송/지불 수로 사용 하기 때문에 해가 네요. 이 기사는 순수 기술 가로채 암호 보다는 잘못 된 페이지 거짓 인터페이스와 암호 속임수는 다른 낚시 방법의 사용에 대 한 것 이다. 온라인 뱅킹의 보안 제어 방법과 동적 소프트 키보드를 사용 하 여 비밀 번호 도용을 방지 하기 위해: 1, 보안의 채택을 제어, 전형적인 대표자: ICBC, 중국 가맹점 은행, 알리바바 Alipay 및 다른 그런 보안 컨트롤 키보드/메시지 후크를 방지 하기 위해 포괄적인 고려 그리고 IE의 COM 인터페이스를 통해 암호를 얻을 수 있는 방법 또한 무력. 하지만 이러한 유형의 보안 제어 하단에 수행 되지 않습니다 깊이에서 간주 되지 않습니다. 우리는 키보드 필터를 사용 하 여 드라이브 방법 보안 제어 보호 기록 암호를 깰 수 있다. 이외에 키보드 드라이브 메서드 필터링, IDT (인터럽트 설명자 차트)의 키보드 입력을 연결 하거나 수 키보드 드라이버 디스패치 루틴을 연결 고 인라인 연결 해당 IRP 분포 함수. 물론, 더욱 깊이 있는 단어 I8042prt.sys 연결할 수 수 있습니다. 그러나, 쓰기 드라이버는 다른 일반 응용 프로그램, 더 어려운, 그래서 거기에 아무 공공 개발이 기술을 사용 하 여이 차단 때문에 이러한 온라인 암호 트로이 은행. 그러나, 그것은 너무 어려운 개발, 그리고 키보드 필터링의 방법은 상대적으로 안정적인. 근거는 우리의 드라이버 모든 IRP (입/출력 요청 패키지) 패키지는 우리의 드라이버 그리고 키보드 드라이버 시스템 전송 되도록 키보드 기반 kbdclass에 연결 된 장치를 만듭니다. 우리의 드라이버는 IRP를 획득 하 고 키보드의 Scancode 스캔 코드는시스템 커널 수준에서 키보드 입력된 정보를 얻을 수 있습니다. 키보드 필터 드라이버 코드의 일부는 다음과 같습니다: (Pdriver_object pdriverobject)에서 NTSTATUS Hookkeyboard {pdevice_object pkeyboarddeviceobject; NTSTATUS 상태 = IoCreateDevice (Pdriverobject, sizeof (device_extension), NULL, File_device_keyboard, 0, True, & Pkeyboarddeviceobject); p keyboarddeviceobject-> 플래그 = Pkeyboarddeviceobject 플래그를-> | (Do_buffered_io | do_power_pagable); p keyboarddeviceobject-> 플래그 = pkeyboarddeviceobject-> 플래그 & ~ DO_DEVICE_INITIALIZING; RtlZeroMemory (pkeyboarddeviceobject-deviceextension, sizeof (device_extension) >); Pdevice_extension pkeyboarddeviceextension = (pdevice_extension) pkeyboarddeviceobject-> deviceextension; CChar ntnamebuffer [64] = "\\DEVICE\\KEYBOARDCLASS0"; 문자열 ntnamestring; Unicode_stringukeyboarddevicename; Rtlinitansistring (및 ntnamestring, Ntnamebuffer); Rtlansistringtounicodestring (ukeyboarddevicename, & ntnamestring, TRUE); Ioattachdevice ( Pkeyboarddeviceobject, ukeyboarddevicename, & pkeyboarddeviceextension → pkeyboarddevice); Rtlfreeunicodestring (ukeyboarddevicename); 반환 status_success} 다음은 ICBC의 온라인 뱅킹, 우리의 프로그램을 보여주는 예입니다. 설명 하기 위해, 우리의 드라이버 실시간으로 얻은 키보드 레코드의 정보를 출력 하 고 디스크 파일에 완전 한 정보를 기록. 중국 가맹점 은행, 알리바바 Alipay 및 동등한 다른 효과,이 방법으로 결제 암호 또한 가로챌 수 있습니다. 정보를 실시간으로 감청 하는 동안 인쇄 그림 1:498에 표시 됩니다) this.width=498 ' OnMouseWheel = 'javascript:return 큰 (이)' 높이 268 alt = = ' "src =" /files/ Uploadimg/20070118/105630986.jpg "폭 560 국경 = 0 = > 완전 한 정보는 파일에 기록: 그림 2. 498) this.width=498 ' OnMouseWheel = 'javascript:return 큰 (이)' 높이 157 alt = = ' "src =" / 파일/uploadimg/20070118 / 105818694.jpg "너비 = 511 국경 = 0 > 이메일 또는 asp/php 메시지와 함께 우리 원격 암호를 얻을 수 있습니다. 2, 동적 소프트 키보드의 채택, 전형적인 대표자는: 중국 건설 은행, 중국 은행, 농업 은행, 처음 봐 수 동적 소프트 키보드 기술 사용 하 여 정말 만들어 공격자가 암호를 가로채 하지 수 있지만 암호를 차단 하는 방법만 키보드 레코드를 차단 하는 방법이 아니다. 우리는 IE의 com 통해 비밀 번호를 얻을 수 있습니다. 중국 건설 은행, IE의 COM 인터페이스를 통해 얻은 암호 상자의 콘텐츠는 암호, 소프트 키보드 기술을 사용 하는 다른 웹사이트의 대부분은 같습니다. 하지만 처리의 비트, 마우스를 통해 들어오는 상자 내용이 소프트 키보드 클릭 웹 프로그램에 중국 농업 은행 실제 암호 하지만 버튼 일련 번호, 그래서 우리는 그냥 현재 창 열거 발견은 중국의 온라인 농업 은행 뱅킹 자동으로 페이지, 우리의 프로그램, 스크린샷 잘린된 이미지와 IE의 COM 인터페이스 (간단한 기능 지도에 추상)를 통해 얻은 직렬 의사 암호화 간의 관계를 변환 하는 것이 쉽습니다. 이 은행의 온라인 뱅킹 암호를 될 것입니다. 다음은 CCB 온라인 은행 암호 데모 스크린샷 차단, 다른 키보드 동적 소프트의 사용 사이트는 동일한 효과가지고. 그림 3: (파생: textoutw/a 걸이의 비슷한 화면 캡처 방법을 사용 하 여 응용 프로그램에 대처 하는 소프트 키보드의 일부를 차단 될 수 있습니다.) 498)) this.width=498 ' OnMouseWheel = 'Javascript:return 큰 (이)' 높이 339 alt = = ' "src=/files/uploadimg/20070118/110106849.jpg" 폭 560 국경 = 0 = > 포스트 스크립트: 비록 온라인 뱅킹 및 기타 전자 지불 결제 플랫폼 암호 보안 고려 사항, 하지만 아직도 충분히 안전 하지 않습니다. 그러나, 우리 또한 인터넷 뱅킹, 디지털 인증서 및 USB 키 (예: U-방패)의 채택 사용할 수 없습니다 및 다른 보안 조치는 상대적으로 안전 하다. 책임 편집자 Zhaoyi zhaoyi#51cto.com 전화: (010) 68476636-8001 주고 힘 (0 표) 되도록 유혹 (0 표) 넌센스 (0 표) 전문가 (0 표) 전달 (0 표) 원문 제목 파티 (0 표): 온라인 뱅킹 및 기타 전자 지불 플랫폼 분석의 보안 웹 방문 네트워크 보안 홈으로 돌아가기