51Testing软件测试论坛

标题: [原创]网银在线chinabank安全漏洞之不完善的开发软件包 [打印本页]
作者: 卖烧烤的鱼    时间: 2008-6-3 18:07
标题: [原创]网银在线chinabank安全漏洞之不完善的开发软件包
[原创]网银在线chinabank安全漏洞之不完善的开发软件包
http://www.chinabank.com.cn/index/index.shtml

题外话:最新在新公司上班,规划整个测试团队和流程建设,由于公司采用outlook2003做为内部沟通交流,非常计厌outlook垃圾邮件过滤功能,每天垃圾邮件近1000以上,后来上官方打了补丁才解决了此问题;话说到这,网站安全性测试也可能存在类似的问题,所以就有了此文:

网站安全性测试,尤为重要,本文作者上篇以实例介绍了“Yeepay网站安全测试漏洞之跨站脚本注入”,以下为具体的地址:
详细地址:http://bbs.51testing.com/thread-113784-1-1.html
或是:卖烧烤的鱼的测试博客: http://mayingbao.cnblogs.com,访问此可以了解更多软件测试,安全性测试,性能测试,自动化测试,测试管理等知识!

今天我要说的是另一种安全性测试,“不完善的开发软件包”,通俗讲就是软件版本过低,存在自身的安全漏洞,但是项目采用了此类型的软件,以下用“网银在线chinabank”
http://www.chinabank.com.cn/index/index.shtml   来说明此问题:
经本文作者验证,网银在线的软件开发包采用存在问题的是:
PHP/4.4.2   此版本存在Possible code execution, SQL injection, ...
Apache/2.0.58 官方提供此版本存在An attacker may exploit this issue to trigger a denial-of-service condition. Reportedly, arbitrary code execution may also be possible.
经本文作者验证,网银在线还存在一些其它漏洞如下:
无效的链接:•        /gateway/about_us/2006/20060225.shtml
•        /gateway/about_us/company/news/2006/2006/20061116.shtml
•        /gateway/about_us/company/news/2007/jinbihe/Scripts/AC_RunActiveContent.js
•        /gateway/css/index.css
•        /gateway/gateway/link.shtml
•        /gateway/gtime/200803month/2008-3-19.html
•        /gateway/international/demo.shtml
•        /gateway/international/demo_1.shtml
•        /gateway/register/index.shtml
•        /gateway/rmb_card/cardtype.shtml
•        /gateway/security.shtml
•        /mall/lipin.asp (GET ProID=LP01)
•        /mall/lipin.asp (GET ProID=LP02)
•        /mall/lipin.asp (GET ProID=LP03)
•        /wuyouxing.jsp (GET v_mid=1509)    //具体不清这些以前是做什么用的,如果是方便运营上线测试的,应当删除掉
希望其网站可以早些时间发现,电子支付安全性非常重要,且勿留下漏洞^_^
作者: 阿七    时间: 2008-6-4 09:51
鱼哥 终于露面咯
呵呵
作者: fumi    时间: 2008-6-23 16:49
厉害 ,顶顶
作者: 盛唐校尉    时间: 2008-7-31 16:58
虽然还不明白!但还是顶一下!我们这个版的人气不是很旺啊!
作者: Jon    时间: 2008-10-31 14:12
顶 不错
作者: jingweiqin    时间: 2009-2-8 16:43
不是很明白,呵呵,但是楼主很厉害啊
作者: 金铃    时间: 2009-7-22 13:13
谢谢分享
作者: GeorgeWangLC    时间: 2009-9-28 21:18
标题: 回复 1# 的帖子
UP
作者: jx9747    时间: 2010-3-25 13:52
UP
作者: chelili    时间: 2010-6-11 17:10
谢谢分享。。。。
作者: chelili    时间: 2010-6-11 17:15
很不错。。。顶顶的了!!!
作者: hbali    时间: 2010-11-25 19:02
发现LZ 的功底很深,值得学习
作者: 白村人    时间: 2011-2-23 23:59
发现LZ 的功底很深,值得学习
作者: qingyi0711    时间: 2011-3-29 23:15
不错。。。。。。顶。。。呵呵
作者: candyzc    时间: 2011-8-2 11:20
弱弱的问,楼主怎么知道哪些是安全性泄漏。用工具还是自己写的代码监测出来的
作者: yihao1019    时间: 2011-9-1 13:11
顶 一个
作者: maclehappy13    时间: 2011-11-7 12:51
怎么有人发小说
作者: F-freya-    时间: 2011-11-15 11:05
up
作者: chris_cheng1    时间: 2011-11-29 10:45
作者: weiweixiaocao    时间: 2012-5-13 15:12
真的牛,双手赞成,谢谢了
作者: ideas168    时间: 2015-1-26 16:58
很实用,谢谢了
作者: 小小_xiaoxiao    时间: 2015-7-21 16:21
这段代码也不是完全没有用的,你删除估计其他代码段有,否则会有一些小影响
作者: dzzpq    时间: 2017-1-13 12:40
强烈支持。
   



欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/) Powered by Discuz! X3.2