51Testing软件测试论坛

标题: [原创]快钱99bill网站安全性测试漏洞之“跨站式脚本注入” [打印本页]

作者: 卖烧烤的鱼 时间: 2008-6-5 16:06
标题: [原创]快钱99bill网站安全性测试漏洞之“跨站式脚本注入”
[原创]快钱99bill网站安全性测试漏洞之“跨站式脚本注入”
网站安全性测试，尤为重要，电子支付网站更是如此，本文作者以实例介绍了
（1）“Yeepay网站安全测试漏洞之跨站脚本注入”，原文地址：http://bbs.51testing.com/thread-113784-1-1.html；
（2）“网银在线chinabank安全漏洞之不完善的开发软件包”，原文地址： http://bbs.51testing.com/thread-116660-1-1.html
（3）“支付宝alipay网站安全性测试漏洞之“无辜的备份文件”，原文地址：http://bbs.51testing.com/thread-116821-1-1.html
（4）“支付宝alipay网站安全性测试漏洞之“SQL注入式攻击”，原文地址：http://bbs.51testing.com/thread-116826-1-1.html

如果你想了解更多软件测试，安全性测试，性能测试，自动化测试，测试管理等知识！欢迎访问我的Blog：卖烧烤的鱼的测试博客: http://mayingbao.cnblogs.com
今天继续要介绍的是“跨站式脚本注入”，关此安全性问题，我之前的贴子“Yeepay网站安全测试漏洞之跨站脚本注入”，已经讲述，所以在此不在描述^_^
闲话不聊了，快钱99bill此signup.htm页面存在问题，访问如下构造的“跨站式脚本”（已做修改，请不要恶意乱用）
https://www.99bill.com/website/s ... @163.com&email=>"><ScRiPt%20%0a%0d>alert(88888888888888888888.888888888888888888)%3B</ScRiPt>&identityConfirmEmail=mayingbao2002@163.com@a

其实此问题很好处理，最终原因是对“〈”未处理，如下图所示
其实快钱99bill电子支付网站，还有如下页面存在类似的安全性问题，列几个：
authentication.htm
signup.htm另authentication.htm页面，还存在“sql注入式攻击漏洞”，希望早些发现解决^_^

作者: 阿七 时间: 2008-6-6 16:01
系列..

作者: tuzanwu 时间: 2008-6-6 22:45
怎么没有了啊

作者: 阿七 时间: 2008-6-18 09:32

作者: 云层 时间: 2008-6-18 10:06
这个安全问题很少有人注意的，楼主有心加油

作者: fumi 时间: 2008-6-23 17:06
真厉害

作者: gf6gg66f4 时间: 2009-6-23 12:47
jg4jf

作者: coolyan0306 时间: 2009-9-26 16:20
Ding

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)