昨天收到一堆连接，都是号称“工行要倒闭”之类。地址都是正牌的icbc.com.cn，而不是盗版的1cbc.com.cn。一时间众说纷纭，justso甚至在猜想工行是不是故意在拉流量放出来的烟雾弹。

其实，在工行的网站上随便点几个连接，就能发现出现类似的问题的地方很多，不光是大家广为流传的hotspot.jsp那个页面，index.jsp也有类似效果。欺骗性还是相当强的。

究其原因，其实很简单。为了让页面模版变的灵活，程序员决定在模版页面上加一个参数：column，这个参数的用途，是用来在页面上写出来栏目的名字。这样一来，“工行简介”这个页面，只要在地址里面写上“column=工行简介”，就ok了。其他栏目以此类推。灵活当然是很灵活了，但是，输入的内容竟然没有做任何校验，就直接显示在了页面上。实乃兵家大忌。程序员没经验，真是什么事情都可以发生的。

仅仅是被人换成个“工行倒闭”，然后发给别人看，这算不了什么大不了的，也就是好玩而已。但是这个地方竟然可以嵌入html代码，这可就太糟糕了。一旦可以用html代码，就不是修改一点点文字，而是可以改变页面的功能了。比如说，我们在另外一个站点放一个输入用户名密码的对话框，然后用 iframe把这个页面嵌入到工行的网站上，然后用“新年礼品”之类的方式骗别人输入网上银行的账号密码，有多少人会上当？

历史上这种事情发生了很多次了。这种骗术看起来总比弄个假的1cbc.com.cn真实多了吧？所以，这不是个小问题，有可能引发严重的后果。工行最好还是赶快修补漏洞为上。

至于某著名it网站原创新闻说：“这不算什么漏洞”，着实是个笑话。不算漏洞，出了事情，你负责吗？媒体如果连起码的公信和正确都做不到，只会哗众取宠的话，不如关门算了。

update:2006-12-31 23:40 发现此漏洞已经修改好。

（作者：霍炬 http://blog.sina.com.cn/m/huoju   2006.12.31）