金融界网站1月3日讯 中国第一大国有商业银行--中国工商银行官方网站（http://www.icbc.com.cn）系统存在低级技术漏洞--跨域问题（XSS），网友可利用此漏洞生成含工行网站链接地址
的页面。致使工行网银存在安全隐患。

　　例如，http://www.icbc.com.cn/click/adver/adver.jsp?para=，后面的参数接的是相应的文件地址。这个文件实现的是简单的跳转功能，如输入http://www.icbc.com.cn/click/adver/adver.jsp?para=http://www.jrj.com，就会相应的调转到：http://www.jrj.com，跳转功能容易给域名类似工商银行的假银行网站提供造假的机会，从而致使一部分工行网银使用者经济利益造成损失。并且工行网站没有对para参数进行基本的过滤。比如输入：http://www.icbc.com.cn/click/adver/adver.jsp?para=javascript:test()";function test(){document.write(?%B9%A4%D0%D0%BD%F4%BC%B1%CD%A8%D6%AA%A3%BA%B9%A4%D0%D0%D0%C2%CE%C5%CF%B5%CD%B3%B3%F6%CF%D6%D1%CF%D6%D8%C2%A9%B6%B4%A3%AC%D0%A1%D0%C4%B1%BB%C6%AD?)}// 。就会得到一个被网友更改的含工行网站链接地址的页面。（注：举例URL中write后面的括号里面，两个引号之间都是可以更换的部分）。

　　由此引发人们对工行网上银行安全问题的置疑，如有网友置疑，一些电子商务网站上有在线交易平台，其中有工行的链接，只要把工行的连接替换为xxx，用户点击连接后，浏览器里会显示账号密码的输入窗口，相信绝大多数人一看链接是工行的地址，肯定输入密码和帐号信息。中国工商银行号称中国最大的国有商业银行，并于2006年10月27日在香港和上海同步上市。但其官方网站存在这样的低级技术漏洞实在不敢让人恭维。如果有人利用此漏洞进行金融欺骗，必定致使一部分工行网银用户利益受损。