51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 38854|回复: 22
打印 上一主题 下一主题

[原创]网银在线chinabank安全漏洞之不完善的开发软件包

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2008-6-3 18:07:39 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
[原创]网银在线chinabank安全漏洞之不完善的开发软件包
http://www.chinabank.com.cn/index/index.shtml

题外话:最新在新公司上班,规划整个测试团队和流程建设,由于公司采用outlook2003做为内部沟通交流,非常计厌outlook垃圾邮件过滤功能,每天垃圾邮件近1000以上,后来上官方打了补丁才解决了此问题;话说到这,网站安全性测试也可能存在类似的问题,所以就有了此文:

网站安全性测试,尤为重要,本文作者上篇以实例介绍了“Yeepay网站安全测试漏洞之跨站脚本注入”,以下为具体的地址:
详细地址:http://bbs.51testing.com/thread-113784-1-1.html
或是:卖烧烤的鱼的测试博客: http://mayingbao.cnblogs.com,访问此可以了解更多软件测试,安全性测试,性能测试,自动化测试,测试管理等知识!

今天我要说的是另一种安全性测试,“不完善的开发软件包”,通俗讲就是软件版本过低,存在自身的安全漏洞,但是项目采用了此类型的软件,以下用“网银在线chinabank”
http://www.chinabank.com.cn/index/index.shtml   来说明此问题:
经本文作者验证,网银在线的软件开发包采用存在问题的是:
PHP/4.4.2   此版本存在Possible code execution, SQL injection, ...
Apache/2.0.58 官方提供此版本存在An attacker may exploit this issue to trigger a denial-of-service condition. Reportedly, arbitrary code execution may also be possible.

经本文作者验证,网银在线还存在一些其它漏洞如下:
无效的链接:•        /gateway/about_us/2006/20060225.shtml
•        /gateway/about_us/company/news/2006/2006/20061116.shtml
•        /gateway/about_us/company/news/2007/jinbihe/Scripts/AC_RunActiveContent.js
•        /gateway/css/index.css
•        /gateway/gateway/link.shtml
•        /gateway/gtime/200803month/2008-3-19.html
•        /gateway/international/demo.shtml
•        /gateway/international/demo_1.shtml
•        /gateway/register/index.shtml
•        /gateway/rmb_card/cardtype.shtml
•        /gateway/security.shtml
•        /mall/lipin.asp (GET ProID=LP01)
•        /mall/lipin.asp (GET ProID=LP02)
•        /mall/lipin.asp (GET ProID=LP03)
•        /wuyouxing.jsp (GET v_mid=1509)    //具体不清这些以前是做什么用的,如果是方便运营上线测试的,应当删除掉
希望其网站可以早些时间发现,电子支付安全性非常重要,且勿留下漏洞^_^
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

  • TA的每日心情

    2015-9-10 15:08
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    2#
    发表于 2008-6-4 09:51:02 | 只看该作者
    鱼哥 终于露面咯
    呵呵
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    3#
    发表于 2008-6-23 16:49:29 | 只看该作者
    厉害 ,顶顶
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    4#
    发表于 2008-7-31 16:58:22 | 只看该作者
    虽然还不明白!但还是顶一下!我们这个版的人气不是很旺啊!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    5#
    发表于 2008-10-31 14:12:00 | 只看该作者
    顶 不错
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    6#
    发表于 2009-2-8 16:43:11 | 只看该作者
    不是很明白,呵呵,但是楼主很厉害啊
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    7#
    发表于 2009-7-22 13:13:24 | 只看该作者
    谢谢分享
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    8#
    发表于 2009-9-28 21:18:34 | 只看该作者

    回复 1# 的帖子

    UP
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    9#
    发表于 2010-3-25 13:52:03 | 只看该作者
    UP
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    10#
    发表于 2010-6-11 17:10:31 | 只看该作者
    谢谢分享。。。。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    11#
    发表于 2010-6-11 17:15:24 | 只看该作者
    很不错。。。顶顶的了!!!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    12#
    发表于 2010-11-25 19:02:15 | 只看该作者
    发现LZ 的功底很深,值得学习
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    13#
    发表于 2011-2-23 23:59:51 | 只看该作者
    发现LZ 的功底很深,值得学习
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    14#
    发表于 2011-3-29 23:15:03 | 只看该作者
    不错。。。。。。顶。。。呵呵
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    15#
    发表于 2011-8-2 11:20:39 | 只看该作者
    弱弱的问,楼主怎么知道哪些是安全性泄漏。用工具还是自己写的代码监测出来的
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    16#
    发表于 2011-9-1 13:11:57 | 只看该作者
    顶 一个
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    17#
    发表于 2011-11-7 12:51:59 | 只看该作者
    怎么有人发小说
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    18#
    发表于 2011-11-15 11:05:32 | 只看该作者
    up
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    19#
    发表于 2011-11-29 10:45:14 | 只看该作者
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    20#
    发表于 2012-5-13 15:12:58 | 只看该作者
    真的牛,双手赞成,谢谢了
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-26 07:08 , Processed in 0.081709 second(s), 27 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表