google搜索 站内搜索                                           软件测试门户 | 软件测试培训 | 文章资料精选 | 软件测试论坛 | 测试解决方案 | 软件测试博客
‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[原创]网银在线chinabank安全漏洞之不完善的开发软件包

本帖已经被作者加入个人空间
卖烧烤的鱼

版主

Rank: 7Rank: 7Rank: 7
1# 发表于 2008-6-3 18:07  只看该作者

[原创]网银在线chinabank安全漏洞之不完善的开发软件包


[原创]网银在线chinabank安全漏洞之不完善的开发软件包
http://www.chinabank.com.cn/index/index.shtml

题外话:最新在新公司上班,规划整个测试团队和流程建设,由于公司采用outlook2003做为内部沟通交流,非常计厌outlook垃圾邮件过滤功能,每天垃圾邮件近1000以上,后来上官方打了补丁才解决了此问题;话说到这,网站安全性测试也可能存在类似的问题,所以就有了此文:

网站安全性测试,尤为重要,本文作者上篇以实例介绍了“Yeepay网站安全测试漏洞之跨站脚本注入”,以下为具体的地址:
详细地址:http://bbs.51testing.com/thread-113784-1-1.html
或是:卖烧烤的鱼的测试博客: http://mayingbao.cnblogs.com,访问此可以了解更多软件测试,安全性测试,性能测试,自动化测试,测试管理等知识!

今天我要说的是另一种安全性测试,“不完善的开发软件包”,通俗讲就是软件版本过低,存在自身的安全漏洞,但是项目采用了此类型的软件,以下用“网银在线chinabank”
http://www.chinabank.com.cn/index/index.shtml   来说明此问题:
经本文作者验证,网银在线的软件开发包采用存在问题的是:
PHP/4.4.2   此版本存在Possible code execution, SQL injection, ...
Apache/2.0.58 官方提供此版本存在An attacker may exploit this issue to trigger a denial-of-service condition. Reportedly, arbitrary code execution may also be possible.
经本文作者验证,网银在线还存在一些其它漏洞如下:
无效的链接:•        /gateway/about_us/2006/20060225.shtml
•        /gateway/about_us/company/news/2006/2006/20061116.shtml
•        /gateway/about_us/company/news/2007/jinbihe/Scripts/AC_RunActiveContent.js
•        /gateway/css/index.css
•        /gateway/gateway/link.shtml
•        /gateway/gtime/200803month/2008-3-19.html
•        /gateway/international/demo.shtml
•        /gateway/international/demo_1.shtml
•        /gateway/register/index.shtml
•        /gateway/rmb_card/cardtype.shtml
•        /gateway/security.shtml
•        /mall/lipin.asp (GET ProID=LP01)
•        /mall/lipin.asp (GET ProID=LP02)
•        /mall/lipin.asp (GET ProID=LP03)
•        /wuyouxing.jsp (GET v_mid=1509)    //具体不清这些以前是做什么用的,如果是方便运营上线测试的,应当删除掉
希望其网站可以早些时间发现,电子支付安全性非常重要,且勿留下漏洞^_^
http://mayingbao.cnblogs.com/  卖烧烤的鱼测试博客 探讨软件测试 软件测试架构 测试管理 性能测试 安全性测试 可用性测试 可靠性测试 易用性测试 敏捷测试 快速测试 软件质量保证

TOP

阿七

seven_阿7

版主

Rank: 7Rank: 7Rank: 7

忧郁...

为人民服务好版主勋章

2# 发表于 2008-6-4 09:51  只看该作者
鱼哥 终于露面咯
呵呵
穿过了所有人群.     我看见你,看见你
把所有的春天都收藏在心里.   然后,寻找
我的下落……

TOP

fumi

新手上路

Rank: 1
3# 发表于 2008-6-23 16:49  只看该作者
厉害 ,顶顶

TOP

盛唐校尉

51Testing就业学员

Rank: 6Rank: 6
4# 发表于 2008-7-31 16:58  只看该作者
虽然还不明白!但还是顶一下!我们这个版的人气不是很旺啊!

TOP

Jon

高级站友

Rank: 4
5# 发表于 2008-10-31 14:12  只看该作者
顶 不错
关注软件项目管理、软件性能测试与系统性能分析工具应用及自动化测试技术
MSN: Jonas.wong@hotmail.com
----------------
      技术^改变^未来

TOP

jingweiqin

中级站友

Rank: 3Rank: 3
6# 发表于 2009-2-8 16:43  只看该作者
不是很明白,呵呵,但是楼主很厉害啊

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题
 
当前时区 GMT+8, 现在时间是 2009-7-5 04:39Copyright(C)上海博为峰软件技术有限公司 2001-2007 电话:021-64471599-8017
当您在访问网站、论坛及博客过程中遇到问题时可发送email:webmaster@51testing.com或发送论坛短信至管理员风在吹