[原创]银联电子支付chinapay安全性测试漏洞之“跨站脚本注入式攻击”

卖烧烤的鱼 · 发表于 2008-6-12 16:33:30

[原创]银联电子支付chinapay安全性测试漏洞之“跨站脚本注入式攻击”

网站安全性测试，尤为重要，电子支付网站更是如此，本文作者以实例介绍了
（1）“Yeepay网站安全测试漏洞之跨站脚本注入”，原文地址：http://bbs.51testing.com/thread-113784-1-1.html；
（2）“网银在线chinabank安全漏洞之不完善的开发软件包”，原文地址： http://bbs.51testing.com/thread-116660-1-1.html
（3）“支付宝alipay网站安全性测试漏洞之“无辜的备份文件”，原文地址：http://bbs.51testing.com/thread-116821-1-1.html
（4）“支付宝alipay网站安全性测试漏洞之“跨站脚本注入式攻击”，原文地址：http://bbs.51testing.com/thread-116826-1-1.html
（5）“快钱99bill网站安全性测试漏洞之“跨站式脚本注入”，原文地址：http://bbs.51testing.com/thread-116883-1-1.html
（6）“银联电子支付chinapay安全性测试漏洞之“不安全的目录设置”，原文地址：http://bbs.51testing.com/thread-117382-1-1.html
如果你想了解更多软件测试，安全性测试，性能测试，自动化测试，测试管理等知识！欢迎访问我的Blog：卖烧烤的鱼的测试博客: http://mayingbao.cnblogs.com银联电子支付chinapay存在“跨站脚本注入式攻击”，经本文作者验证https://payment.chinapay.com/trf/G_chklogin.jsp此部分存在漏洞，于是构造脚本
： https://payment.chinapay.com/trf/G_chklogin.jsp?EncMsg=>'><ScRiPt%20%0a%0d>alert(888888888888888888888)%3B</ScRiPt>&ret=mayingbao2002@163.com&IPAddr=61%2E129%2E122%2E135%3A8081%2Ftrf%2F
访问后，弹出如下图

PS:经本文作者验证：https://payment.chinapay.com/trf/G_chklogin.jsp此部分也存在漏洞，其中分析得出最佳祸手为“ txtId ”字段^_^