这算不算网上银行可能的安全漏洞？？？

设想我们的电脑中了一个病毒程序，这个病毒程序是可以监管或部分监管浏览器页面功能的。当我们打开工商行网站时，这个病毒程序就开始监控我们的举动，在用户输入账号和密码登陆时它不干涉，但当用户转到转账页面时，它对用户输入的转入账号在背后悄悄做了修改，变成病毒期望的转入账号，但用户在页面上看不出，之后此病毒程序也不再做别的干涉，于是用户插入U盾接着下面的操作，直至转账完成。我想知道存在这种可能吗？哪位热心人作答一下，谢谢！ --------------------编程问答-------------------- 10年的时候听说有
不过银行也会升级的吧，现在U盾都不一样了 --------------------编程问答-------------------- 银行不可能只验证转入和转出帐户吧。。我觉得至少是
public bool 转帐(string 转入帐户 , string 转出帐户 , string 交易码)

交易码肯定是什么复杂的算法生成出来的，这样就算病毒在提交转帐数据时将转出帐户改掉，也不可能得出正确的交易码  。  

哈哈，我乱猜的。 --------------------编程问答-------------------- 你打开了敏感的页面、有敏感的介质插入、你在类似于登录界面的地方敲了哪些键盘键，等等，这些都是可以实时录制下来并异步发送到人家的网站上去的！

所以不要胡乱下载什么来路不明的程序。比如有人从QQ上给一个程序让你测试，或者有人在csdn上号称做了什么wpf游戏请你测玩，这些都不要胡乱下载使用。要管住自己的手，注意不要犯贱去下载很可能有风险的程序。一旦下载了它们运行，它就得到了你机器的全部权限，就可以做在网页上做不到是各种坏事了。 --------------------编程问答-------------------- 钱多的话无所谓 --------------------编程问答--------------------

引用 2 楼 going1981 的回复:

银行不可能只验证转入和转出帐户吧。。我觉得至少是
public bool 转帐(string 转入帐户 , string 转出帐户 , string 交易码)

交易码肯定是什么复杂的算法生成出来的，这样就算病毒在提交转帐数据时将转出帐户改掉，也不可能得出正确的交易码  。  

哈哈，我乱猜的。

不用那么复杂。只要把你敲的帐号密码收集起来，只要人家自动收集的密码十分之一可用，这就是惊人的犯罪。 --------------------编程问答-------------------- 这是不可能的。因为你提交form时候。相关关键数据是有加密校验的。病毒篡改了账户。加密校验是验证不过的。 --------------------编程问答-------------------- 许霆取钱都判这么重，你这样做会更重。 --------------------编程问答--------------------

引用楼主 jingweixml 的回复:

设想我们的电脑中了一个病毒程序，这个病毒程序是可以监管或部分监管浏览器页面功能的。当我们打开工商行网站时，这个病毒程序就开始监控我们的举动，在用户输入账号和密码登陆时它不干涉，但当用户转到转账页面时，它对用户输入的转入账号在背后悄悄做了修改，变成病毒期望的转入账号，但用户在页面上看不出，之后此病毒程序也不再做别的干涉，于是用户插入U盾接着下面的操作，直至转账完成。我想知道存在这种可能吗？哪位热心人……

悄悄修改你转账的帐号这点在理论上是很难的，因为你和银行之间的通讯是加密的，注意一下网银的网址一般是https开头的。
但是黑客软件可以记录你的键盘输入，可以记下你的帐号和密码，这就非常危险了，但这并不算网银的漏洞。 --------------------编程问答--------------------

引用 8 楼 xustanly 的回复:

引用楼主 jingweixml 的回复:
设想我们的电脑中了一个病毒程序，这个病毒程序是可以监管或部分监管浏览器页面功能的。当我们打开工商行网站时，这个病毒程序就开始监控我们的举动，在用户输入账号和密码登陆时它不干涉，但当用户转到转账页面时，它对用户输入的转入账号在背后悄悄做了修改，变成病毒期望的转入账号，但用户在页面上看不出，之后此病毒程序也不再做别的干涉，于是用户插入U盾接着下面的操作，直……

记录你的键盘输入,就一个钩子,但是好像杀毒软件都不报 --------------------编程问答-------------------- 你能想到的别人早就已经开始行动了 --------------------编程问答-------------------- 和工商行的连接是https的，无法更改。

另外，U盾在确认交易时会显示出交易双方的帐号，这个也是无法涂改的。 --------------------编程问答-------------------- 千万别在网吧里操作网银，否则后果很严重 --------------------编程问答-------------------- 回8楼和11楼：这个病毒主要控制页面录入和显示这一层面，处于页面录入/显示和U盾加密之间，即在页面把账号提交到U盾途中拦截修改。
“U盾在确认交易时会显示出交易双方的帐号”，这个问题可以用替换法，即在u盾提交账号显示途中进行拦截修改成用户期望的那个账号后再提交浏览器显示。 --------------------编程问答-------------------- U盾确认界面不是由浏览器显示的 --------------------编程问答-------------------- 你想多了。这就好比你每次大量发相同的贴，以为不这样就无法获得足够的关注一样。 --------------------编程问答-------------------- 回14楼，我知道现在的U盾是由U盾本身确认支付的，但这看来跟我说的并不冲突啊 --------------------编程问答--------------------

引用 1 楼 zzzzv0 的回复:

10年的时候听说有
不过银行也会升级的吧，现在U盾都不一样了

不知道你说的和我说的是不是一样。ie是一种浏览器。里面的东西肯定可以改。
楼主说的这个。在10年左右。电脑报登过一篇文章。和楼主要的几乎一样。
现在很多病毒也带有楼主要的功能。 --------------------编程问答--------------------

引用 7 楼 woshile 的回复:

许霆取钱都判这么重，你这样做会更重。

其实输入转帐卡号后面还有一步确认，假如这个仍然被那个给改了，你点了确定，在U盾的液晶屏上好像还会再显示一下，那个东西是经过数字证书加密的，没那么容易就给篡改的，除非你看都不看就按了OK键

补充：.NET技术 ,  C#