51Testing软件测试论坛

标题: [原创]银联电子支付chinapay安全性测试漏洞之“跨站脚本注入式攻击” [打印本页]

作者: 卖烧烤的鱼 时间: 2008-6-12 16:33
标题: [原创]银联电子支付chinapay安全性测试漏洞之“跨站脚本注入式攻击”
[原创]银联电子支付chinapay安全性测试漏洞之“跨站脚本注入式攻击”

网站安全性测试，尤为重要，电子支付网站更是如此，本文作者以实例介绍了
（1）“Yeepay网站安全测试漏洞之跨站脚本注入”，原文地址：http://bbs.51testing.com/thread-113784-1-1.html；
（2）“网银在线chinabank安全漏洞之不完善的开发软件包”，原文地址： http://bbs.51testing.com/thread-116660-1-1.html
（3）“支付宝alipay网站安全性测试漏洞之“无辜的备份文件”，原文地址：http://bbs.51testing.com/thread-116821-1-1.html
（4）“支付宝alipay网站安全性测试漏洞之“跨站脚本注入式攻击”，原文地址：http://bbs.51testing.com/thread-116826-1-1.html
（5）“快钱99bill网站安全性测试漏洞之“跨站式脚本注入”，原文地址：http://bbs.51testing.com/thread-116883-1-1.html
（6）“银联电子支付chinapay安全性测试漏洞之“不安全的目录设置”，原文地址：http://bbs.51testing.com/thread-117382-1-1.html
如果你想了解更多软件测试，安全性测试，性能测试，自动化测试，测试管理等知识！欢迎访问我的Blog：卖烧烤的鱼的测试博客: http://mayingbao.cnblogs.com银联电子支付chinapay存在“跨站脚本注入式攻击”，经本文作者验证https://payment.chinapay.com/trf/G_chklogin.jsp此部分存在漏洞，于是构造脚本
： https://payment.chinapay.com/trf/G_chklogin.jsp?EncMsg=>'><ScRiPt%20%0a%0d>alert(888888888888888888888)%3B</ScRiPt>&ret=mayingbao2002@163.com&IPAddr=61%2E129%2E122%2E135%3A8081%2Ftrf%2F
访问后，弹出如下图

PS:经本文作者验证：https://payment.chinapay.com/trf/G_chklogin.jsp此部分也存在漏洞，其中分析得出最佳祸手为“ txtId ”字段^_^

作者: 阿七 时间: 2008-6-18 09:25
鱼兄有空出个录像教程哈
^_^

作者: QQHao 时间: 2008-9-4 11:43
lz 有空应该交流一下如何做黑客哦

作者: flyweb 时间: 2008-9-4 23:08
这类注入只是恶作剧摆了

　一方面体现在浏览器对Unicode的处理漏洞

　另一方面针对表单对特定字符的过滤处理不当

作者: lihy2011 时间: 2011-5-20 09:39
新手逛园留个爪爪

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)