软件测试论坛 › [电子商务测试] › [原创]网银在线chinabank安全漏洞之不完善的开发软件包

卖烧烤的鱼 发表于 2008-6-3 18:07:39

[原创]网银在线chinabank安全漏洞之不完善的开发软件包

[原创]网银在线chinabank安全漏洞之不完善的开发软件包
http://www.chinabank.com.cn/index/index.shtml

题外话：最新在新公司上班，规划整个测试团队和流程建设，由于公司采用outlook2003做为内部沟通交流，非常计厌outlook垃圾邮件过滤功能，每天垃圾邮件近1000以上，后来上官方打了补丁才解决了此问题；话说到这，网站安全性测试也可能存在类似的问题，所以就有了此文：

网站安全性测试，尤为重要，本文作者上篇以实例介绍了“Yeepay网站安全测试漏洞之跨站脚本注入”，以下为具体的地址：
详细地址：http://bbs.51testing.com/thread-113784-1-1.html
或是：卖烧烤的鱼的测试博客: http://mayingbao.cnblogs.com，访问此可以了解更多软件测试，安全性测试，性能测试，自动化测试，测试管理等知识！

今天我要说的是另一种安全性测试，“不完善的开发软件包”，通俗讲就是软件版本过低，存在自身的安全漏洞，但是项目采用了此类型的软件，以下用“网银在线chinabank”
http://www.chinabank.com.cn/index/index.shtml   来说明此问题：
经本文作者验证，网银在线的软件开发包采用存在问题的是：
PHP/4.4.2   此版本存在Possible code execution, SQL injection, ...
Apache/2.0.58 官方提供此版本存在An attacker may exploit this issue to trigger a denial-of-service condition. Reportedly, arbitrary code execution may also be possible.
经本文作者验证，网银在线还存在一些其它漏洞如下：
无效的链接：•        /gateway/about_us/2006/20060225.shtml
•        /gateway/about_us/company/news/2006/2006/20061116.shtml
•        /gateway/about_us/company/news/2007/jinbihe/Scripts/AC_RunActiveContent.js
•        /gateway/css/index.css
•        /gateway/gateway/link.shtml
•        /gateway/gtime/200803month/2008-3-19.html
•        /gateway/international/demo.shtml
•        /gateway/international/demo_1.shtml
•        /gateway/register/index.shtml
•        /gateway/rmb_card/cardtype.shtml
•        /gateway/security.shtml
•        /mall/lipin.asp (GET ProID=LP01)
•        /mall/lipin.asp (GET ProID=LP02)
•        /mall/lipin.asp (GET ProID=LP03)
•        /wuyouxing.jsp (GET v_mid=1509)    //具体不清这些以前是做什么用的，如果是方便运营上线测试的，应当删除掉
希望其网站可以早些时间发现，电子支付安全性非常重要，且勿留下漏洞^_^

阿七 发表于 2008-6-4 09:51:02

鱼哥 终于露面咯
呵呵

fumi 发表于 2008-6-23 16:49:29

厉害 ，顶顶:) :) :)

盛唐校尉 发表于 2008-7-31 16:58:22

虽然还不明白！但还是顶一下！我们这个版的人气不是很旺啊！

Jon 发表于 2008-10-31 14:12:00

顶 不错

jingweiqin 发表于 2009-2-8 16:43:11

不是很明白，呵呵，但是楼主很厉害啊

金铃 发表于 2009-7-22 13:13:24

谢谢分享

GeorgeWangLC 发表于 2009-9-28 21:18:34

回复 1# 的帖子

UP

jx9747 发表于 2010-3-25 13:52:03

UP

chelili 发表于 2010-6-11 17:10:31

谢谢分享。。。。 :lol

chelili 发表于 2010-6-11 17:15:24

很不错。。。顶顶的了！！！

hbali 发表于 2010-11-25 19:02:15

发现LZ 的功底很深，值得学习

白村人 发表于 2011-2-23 23:59:51

发现LZ 的功底很深，值得学习

qingyi0711 发表于 2011-3-29 23:15:03

不错。。。。。。顶。。。呵呵

candyzc 发表于 2011-8-2 11:20:39

弱弱的问，楼主怎么知道哪些是安全性泄漏。用工具还是自己写的代码监测出来的

yihao1019 发表于 2011-9-1 13:11:57

顶 一个

maclehappy13 发表于 2011-11-7 12:51:59

:curse:怎么有人发小说

F-freya- 发表于 2011-11-15 11:05:32

up

chris_cheng1 发表于 2011-11-29 10:45:14

:)

weiweixiaocao 发表于 2012-5-13 15:12:58

真的牛，双手赞成，谢谢了

查看完整版本: [原创]网银在线chinabank安全漏洞之不完善的开发软件包