“工行w2号暴力破解银行卡密码漏洞”出现在个人网上银行贵宾版的 自助冻结网上银行登录 功能中，页面网址：

https://vip.icbc.com.cn/icbc/newperbank/logonFreeze.jsp

从该页面输入银行卡号、验证码，接着确认预留信息后，进入可输入“注册卡的ATM取款密码页面”的页面，此处可无限次使用不同密码进行尝试，可根据返回的页面信息确定密码是否正确，遍历所有可能密码就能找出正确的银行卡密码。显然这个漏洞也是由于没有对密码尝试作限制导致的，修补方法：对密码尝试次数进行限制。

利用这个漏洞可以获取注册过个人网上银行的银行卡的取款密码。

注：工行已经于2009年3月10日修复此漏洞。