论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 104 篇帖子 ]  前往页数 上一页  1 ... 3, 4, 5, 6, 7
作者 内容
 文章标题 : Re: 招商银行网银专业版(带key)安全漏洞!晕~
帖子发表于 : 2011-03-09 20:19 
离线
初级用户

注册: 2011-01-28 17:04
最近: 2011-03-17 14:24
拥有: 179.00 安全币

奖励: 26 安全币
在线: 0 点
帖子: 22
在登录后,进行交易以外的操作时,KEY是否不起作用?

求专业人士解答


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 招商银行网银专业版(带key)安全漏洞!晕~
帖子发表于 : 2011-03-09 22:55 
离线
顶级用户

注册: 2008-03-17 17:22
最近: 2018-01-26 14:17
拥有: 9,485.60 安全币

奖励: 1018 安全币
在线: 22882 点
帖子: 1818
地址: HK/Peking
happylobster 写道:
在登录后,进行交易以外的操作时,KEY是否不起作用?

求专业人士解答


肯定起作用的,不信你拔掉,只是点击查看,看能操作否


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 招商银行网银专业版(带key)安全漏洞!晕~
帖子发表于 : 2011-03-10 16:31 
离线
新手

注册: 2006-02-27 15:01
最近: 2014-02-14 14:13
拥有: 230.00 安全币

奖励: 0 安全币
在线: 550 点
帖子: 14
其实就是银行吧这个业务和账户查询等普通业务级别等同起来了,人家就是这么定义的,我也是招行专业版用户,现在通过网银买一些理财产品的时候专业版和大众版都可以操作的,不知道基金交易大众版可不可以,拔了key的专业版基本功能和大众版一样了,所以在银行那里本来就是这么定义设计的而非漏洞。按楼主的想法那理财产品也不应该通过大众版进行交易,肯定没签名啊!
大家都是从技术入手这个问题,但具体到金融业务咱们不会比人家银行更明白吧,当然这都是动态变化的,没准哪天这个严格了,定义就变了,向基金买卖和理财产品买卖都必须专业版了


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 招商银行网银专业版(带key)安全漏洞!晕~
帖子发表于 : 2011-03-15 18:34 
离线
新手

注册: 2011-03-10 17:52
最近: 2011-04-06 15:06
拥有: 95.00 安全币

奖励: 0 安全币
在线: 0 点
帖子: 18
真的是低级的漏洞。竟然不用u盾也可以进行交易。不过,如果,什么时候真的不用u盾还可以交易,而却可以保证交易安全,那还真是不错。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 招商银行网银专业版(带key)安全漏洞!晕~
帖子发表于 : 2011-03-15 20:34 
离线
初级用户

注册: 2009-07-14 08:57
最近: 2012-11-23 15:00
拥有: 440.00 安全币

奖励: 0 安全币
在线: 323 点
帖子: 50
这个不是USBKEY的漏洞。。谢谢。。是招行自己设计业务安全逻辑的问题,KEY只在系统调用它签名、证书解析的接口时才工作。只是个工具,怎么用是银行自己决定的,银行说证券交易不用key,跟key的漏洞有啥关系啊,现在1代key都没被攻破过,只不过有人能找到其他系统或业务逻辑上的漏洞绕过key的安全认证而已,2代key强度更是高,传统攻击方法已经绕不过去了。


--------本帖迄今已累计获得30安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 招商银行网银专业版(带key)安全漏洞!晕~
帖子发表于 : 2011-04-07 15:55 
离线
新手

注册: 2011-04-07 15:09
最近: 2011-04-07 20:31
拥有: 0.00 安全币

奖励: 0 安全币
在线: 0 点
帖子: 9
兄弟说的有道理


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re:
帖子发表于 : 2011-06-30 12:51 
离线
高级用户

注册: 2008-07-16 14:25
最近: 2014-07-15 13:11
拥有: 1,076.70 安全币

奖励: 386 安全币
在线: 2507 点
帖子: 174
asp3596 写道:
yes9901 写道:
个人愚见,Key只是在身份认证阶段起作用,你既然已经登录,那后续的操作跟Key关系就不大了,可有可无。


我本人就是做网银安全的,所以有些研究,网银系统里,key是起两个作用:1、登陆身份认证(key里绑定的数字证书);2、交易数据签名(用key里的私钥),这个签名目的是:抗抵赖性,也是具有法律效应的。

这个KEY里的证书(你提到的私钥),有没有加解密的作用呢?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: Re:
帖子发表于 : 2011-06-30 13:46 
离线
高级用户

注册: 2006-04-16 17:07
最近: 2016-02-25 09:13
拥有: 730.10 安全币

奖励: 0 安全币
在线: 4152 点
帖子: 199
地址: BJ
smiling 写道:
asp3596 写道:
yes9901 写道:
个人愚见,Key只是在身份认证阶段起作用,你既然已经登录,那后续的操作跟Key关系就不大了,可有可无。


我本人就是做网银安全的,所以有些研究,网银系统里,key是起两个作用:1、登陆身份认证(key里绑定的数字证书);2、交易数据签名(用key里的私钥),这个签名目的是:抗抵赖性,也是具有法律效应的。

这个KEY里的证书(你提到的私钥),有没有加解密的作用呢?

交易数据签名及认证过程
(1)用户网银交易时输入USB-KEY的PIN码,系统读取USB KEY中存储的的数字证书及私钥信息。
(2)USBKEY内置加密算法,使用私钥,对用户网银交易信息进行签名加密。
(3)根据PKCS#7标准,将原文和签名后的密文和自己的数字证书打包。
(4)网银将打包报文发送给认证服务器。
(5)认证服务器收到报文,根据PKCS#7格式读出打包信息。
(6)认证服务器验证用户端所提供的数字证书的有效期、证书链,并完成黑名单检查,失败则放弃。
(7)有效期、证书链和黑名单验证通过后,认证服务器即使用用户的数字证书的公钥对用户所提供的密文进行解密。
(8)解密后的报文和原文核对,相同则表明接受由用户提交的数字证书所申明的身份。


--------本帖迄今已累计获得36安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 招商银行网银专业版(带key)安全漏洞!晕~
帖子发表于 : 2011-08-09 17:42 
离线
版主

注册: 2006-01-19 17:47
最近: 2017-12-26 19:36
拥有: 6,512.70 安全币

奖励: 1310 安全币
在线: 5213 点
帖子: 536
地址: 上海
感觉第三方存管的说法说不通,基金不像股票,申购成功后资金是划到基金公司制定托管行的账户上,也就意味着如果你申购的基金的托管行是非招行的话,申购款自然就从招行被划走,怎么能说没有发生资金的转移呢?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 招商银行网银专业版(带key)安全漏洞!晕~
帖子发表于 : 2011-08-09 18:28 
离线
初级用户

注册: 2010-11-29 14:50
最近: 2013-03-19 14:47
拥有: 284.00 安全币

奖励: 0 安全币
在线: 205 点
帖子: 34
明明是银行问题 脸皮厚的死活不认帐 牛的很


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re:
帖子发表于 : 2012-05-27 11:56 
离线
高级用户

注册: 2005-05-20 17:43
最近: 2013-08-16 18:20
拥有: 895.20 安全币

奖励: 213 安全币
在线: 3122 点
帖子: 229
地址: BUPT
拔掉key后,招行网银不能做任何操作了
happylobster 写道:
guyonghao 写道:
在登录后,进行交易以外的操作时,KEY是否不起作用?
我本人就是做网银安全的,所以有些研究,网银系统里,key是起两个作用:1、登陆身份认证(key里绑定的数字证书);2、交易数据签名(用key里的私钥),这个签名目的是:抗抵赖性,也是具有法律效应的。

按理说应该每次操作都得认证,但是可能考虑性能问题,可能有的操作不验证了[/quote]


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re:
帖子发表于 : 2013-03-13 22:22 
离线
中级用户

关注按钮

注册: 2008-06-09 16:34
最近: 2015-10-08 08:53
拥有: 1,133.70 安全币

奖励: 511 安全币
在线: 1376 点
帖子: 101
zhongkang 写道:
高手很多,谈几点意见凑个热闹;
1,招行回复是从银行业务角度出发,也不能说错.各位分析都从技术角度.
2,这样基金漏洞同证券一样,由于采用三方,利用者可以盗买盗卖,但不能自己取现,纯属于损人不利己.
3,银行签名只对客户端到银行交易主机链路起作用,购买基金还要涉及到基金公司的网上交易系统,银行端到基金公司端交易数据没得到签名保护.
不在银行工作,外行错误之处,见笑.

比较赞同这个观点


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 招商银行网银专业版(带key)安全漏洞!晕~
帖子发表于 : 2013-03-14 11:57 
离线
新手

注册: 2012-05-30 17:09
最近: 2016-05-03 12:14
拥有: 20.00 安全币

奖励: 0 安全币
在线: 1976 点
帖子: 8
用建行的买纸黄金,就不需要插USBKEY,直接可以买卖,所以银行工作人员的解释是真的,完全不存在什么防抵赖的,他认为钱就是在卡里面的。还有,其他人替你买卖基金是不能获得利益的,这也促使银行在开发这个功能的时候想当然按照没有必要增加操作复杂度了。


--------本帖迄今已累计获得37安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 招商银行网银专业版(带key)安全漏洞!晕~
帖子发表于 : 2013-07-29 15:40 
离线
初级用户

注册: 2006-08-16 12:00
最近: 2015-07-10 17:37
拥有: 405.20 安全币

奖励: 0 安全币
在线: 1694 点
帖子: 56
我觉得楼主说的是最最实际的问题,按照道理说,柜面办业务,需要签字的地方,用网银来操作,都应该要求数字签名;否则是不符合交易审计的要求的。招行业务部门这一点一定是为了一些效率等特性,而牺牲了安全性。

效率不好,最好从其它角度入手解决,不应当牺牲安全。

至于说到别人不能获利这一点,这是早期的一种说法,现在,所谓“鱼叉式攻击”,攻击者只要达到自己的目的就行了,不一定目的就是从你的卡里偷钱,从你这里拿不到钱,不一定从别人那里拿不到(受雇佣于竞争对手、有积怨的人,破坏一个人的交易的情况不是没有)。所以叫做“攻击”而不只是“网银大盗”。


--------本帖迄今已累计获得50安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 104 篇帖子 ]  前往页数 上一页  1 ... 3, 4, 5, 6, 7

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012