下面為轉(zhuǎn)載的對(duì)于招行安全控件的分析（很遺憾作者不詳無(wú)法表明）

1) 在登錄界面上有數(shù)字驗(yàn)證碼來(lái)防止暴力攻擊

2) 安全登錄控件中包含兩個(gè)控件：帳戶和密碼輸入控件

3) 用戶輸入登錄信息后，提交時(shí) Javascript 從安全登錄控件中取出的帳戶和密碼是經(jīng)過(guò)加密的，即在 SSL 加密的基礎(chǔ)上，又做了自定義的加密，完全做到了端到端的保密通訊（這一點(diǎn)可以通過(guò) ieHTTPHeaders 查看出來(lái)）

4) 在登錄 Form 中還有一個(gè) ClienNo 和 SerialNo 等字段，這些值被設(shè)置為安全登錄控件的 Option，估計(jì)是做為加密所用 Key 的一部分

5) 登錄 Form 的提交地址是一個(gè) DLL（ISAPI？），Web Server?IIS 5.0 (招商銀行的主頁(yè)似乎運(yùn)用了 Content Management Server ，從其頁(yè)面源碼中可以看出來(lái)）

6) 安全登錄控件的 CAB 包（CMBEdit.CAB)，大小有 117 KB，包含控件 CMBEdit.DLL ，應(yīng)該是使用 VC 編寫的，版本 1.1，經(jīng)過(guò) VeriSign 代碼簽名

7）最關(guān)鍵的是，不管是 MVM 的基于 .NET 的鍵盤 Hook 程序，還是另外一個(gè)基于 VB 的鍵盤 Hook 程序，都無(wú)法捕捉用戶在安全登錄控件里輸入的鍵值，這也許是最重要的一點(diǎn)

8) 由于在頁(yè)面中使用 ActiveX ，可能給一些用戶帶來(lái)登錄問(wèn)題（如安全設(shè)置不同或安裝 XP?SP2 都可能阻止 ActiveX 的安裝），招商銀行的頁(yè)面上明確給出了解決登錄的鏈接文檔。

文章來(lái)源:http://computer.mblogger.cn/wucountry/posts/31304.aspx

總結(jié)

以上是生活随笔為你收集整理的[导入]下面为转载的对于招行安全控件的分析的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。