[原创]网银在线chinabank安全漏洞之不完善的开发软件包
|
  
|
[原创]网银在线chinabank安全漏洞之不完善的开发软件包
[原创]网银在线chinabank安全漏洞之不完善的开发软件包
http://www.chinabank.com.cn/index/index.shtml
题外话:最新在新公司上班,规划整个测试团队和流程建设,由于公司采用outlook2003做为内部沟通交流,非常计厌outlook垃圾邮件过滤功能,每天垃圾邮件近1000以上,后来上官方打了补丁才解决了此问题;话说到这,网站安全性测试也可能存在类似的问题,所以就有了此文:
网站安全性测试,尤为重要,本文作者上篇以实例介绍了“Yeepay网站安全测试漏洞之跨站脚本注入”,以下为具体的地址:
详细地址:http://bbs.51testing.com/thread-113784-1-1.html
或是:卖烧烤的鱼的测试博客: http://mayingbao.cnblogs.com,访问此可以了解更多软件测试,安全性测试,性能测试,自动化测试,测试管理等知识!
今天我要说的是另一种安全性测试,“不完善的开发软件包”,通俗讲就是软件版本过低,存在自身的安全漏洞,但是项目采用了此类型的软件,以下用“网银在线chinabank”
http://www.chinabank.com.cn/index/index.shtml 来说明此问题:
经本文作者验证,网银在线的软件开发包采用存在问题的是:
PHP/4.4.2 此版本存在Possible code execution, SQL injection, ...
Apache/2.0.58 官方提供此版本存在An attacker may exploit this issue to trigger a denial-of-service condition. Reportedly, arbitrary code execution may also be possible.
经本文作者验证,网银在线还存在一些其它漏洞如下:
无效的链接:• /gateway/about_us/2006/20060225.shtml
• /gateway/about_us/company/news/2006/2006/20061116.shtml
• /gateway/about_us/company/news/2007/jinbihe/Scripts/AC_RunActiveContent.js
• /gateway/css/index.css
• /gateway/gateway/link.shtml
• /gateway/gtime/200803month/2008-3-19.html
• /gateway/international/demo.shtml
• /gateway/international/demo_1.shtml
• /gateway/register/index.shtml
• /gateway/rmb_card/cardtype.shtml
• /gateway/security.shtml
• /mall/lipin.asp (GET ProID=LP01)
• /mall/lipin.asp (GET ProID=LP02)
• /mall/lipin.asp (GET ProID=LP03)
• /wuyouxing.jsp (GET v_mid=1509) //具体不清这些以前是做什么用的,如果是方便运营上线测试的,应当删除掉
希望其网站可以早些时间发现,电子支付安全性非常重要,且勿留下漏洞^_^ |
|
|
卖烧烤的鱼测试博客:http://mayingbao.cnblogs.com/
卖烧烤的鱼新浪微博:http://www.weibo.com/mayingbao
卖烧烤的鱼腾讯微博:http://t.qq.com/mayingbao
|
|
|
|
|
|
|
4#
发表于 2008-7-31 16:58
| 只看该作者
| 虽然还不明白!但还是顶一下!我们这个版的人气不是很旺啊! |
|
|
|
|
|
|
|
|
|
5#
发表于 2008-10-31 14:12
| 只看该作者
|
|
关注软件项目管理、软件性能测试与系统性能分析工具应用及自动化测试技术
MSN: Jonas.wong@hotmail.com
----------------
技术^改变^未来
|
|
|
|
|
|
|
8#
发表于 2009-9-28 21:18
| 只看该作者
|
|
- George
Cool Master!
MSN: GeorgeWangLC@yahoo.com
Gmail: GeorgeWangLC@gmail.com
|
|
|
|
|
|
|
11#
发表于 2010-6-11 17:10
| 只看该作者
谢谢分享。。。。  |
|
|
|
|
|
|
|
|
|
14#
发表于 2010-12-1 16:14
| 只看该作者
有一个女孩名叫茜,在她还没有出生的时候她的爸爸就已经去世了,她和妈妈、姥姥、还有继父生活在一起,可是姥姥和继父都不喜欢她。于是,在她上高中时妈妈给她送进了一所私立学校。私立学校都是有钱人家的孩子,在这一群富家子弟中,茜显得是那样的另类,她每个月的生活费只有123.5,这些钱只够她一个月吃饭的花销,所以,她每天都等同学吃过饭后,躲在一个角落里吃馒头和咸菜。但女孩从小就要强的性格让她在学习方面很突出,她每一次考试都是全年级的第一名,许多有钱人的家长都希望她能给自己的孩子补课,但是,她看不惯有钱人家孩子的样儿,所以,都被她拒绝了。 ­
没多久,班级里一个名叫巩的男孩对茜说:“你帮我写意篇文章吧?”茜不屑的笑笑,说:“我为什么给你补课?”巩理直气壮的说:“因为我成绩差!”这句话使茜多看了他一眼,就是这么一眼让茜觉得巩与众不同,因为巩和别的有钱人家的孩子不同,他身上总是穿着一件破旧的大衣,而且也没有贵族人的傲气,于是便答应了给他补课。每天茜都给巩补习功课,同时也增加了茜的收入。渐渐地,他们熟悉了,得知巩的生日是12月31日一年中的最后一天,而茜的生日是1月1日一年中的第一天,巩开玩笑的说:“我比你大了整整一年啊!”茜冷淡地回了一句:“仅一天而已!”这一天放学,学校门口停了一辆宝马,许多有钱人家的孩子都没有见过,那是巩的家人来接他了,茜看着巩走向了车的方向,心想:“为什么他们可以那么有钱?为什么他们就可以开宝马?”就在这时,巩回头对茜淡淡地一笑便上了车。茜回过神来想:“我为什么要羡慕他?他又没有我学习好!”日子就这样一天天的过,尽管茜每天都给巩补课功课,可巩的成绩一直也没有明显的进步,离高考的日子越来越近了,他们都顾着自己的总复习,也不再补习了。茜一心就想考上清华,因为她不想被别人看不起。考试成绩出来了,茜如愿地考上了清华大学,并且是高出全校第二名整整50分的优异成绩考入了清华大学。 ­
由于学校还没有开学,茜想回家看一看妈妈,她们母女已经很多年没有见过面了。可她刚进家门,继父见了她就又打又骂的,妈妈把她护在身后,无奈之下茜离开了家,当她走到楼下抬头看着自己家的阳台时,她多么希望在临走前再见妈妈一眼,可等来的却是姥姥把她所有的行李丢了下来,她伤心的离开了家,又回到了北京。 ­
茜回到北京后,准备四处找房子,正在这时她看见一个老奶奶在收拾一个库房,她走上前去问:“老奶奶,您这房子租吗?”老奶奶笑眯眯地说:“小姑娘,你想租房子吗?”茜点了点头,“那就100块钱吧!”老奶奶回答她。茜正收拾房子的时候,见到了很久不见的巩,茜不想让别人看见自己落魄的样子,生气地问:“你怎么在这儿?”巩还是和以前一样穿得随随便便的,表情怪异地说:“我来看我姑奶奶!”茜像被看穿了一样,一直沉默不说话。巩问:“听说你考上了清华,恭喜你啊!”茜也不是那种不识价的人,就说:“谢谢!那你呢?”巩不高兴地说:“我爸爸让我出国!”茜冷冷地看着他,狠狠地说:“哼!你们有钱人家的孩子就是这样!”巩又接着对茜说:“你愿不愿意帮我一个忙?”茜疑惑地问:“什么事?”巩说:“愿不愿意到我妈妈的公司做打字员?”茜立刻就生气地说:“你是在同情我吗?”巩急忙解释:“不是的,我妈妈的公司最近效益不好,许多员工都走了,现在正好缺人,你就当是帮帮我,好不好?”茜答应了,每天都去巩妈妈那上班,www.56gb.com一个月发600元的工资,这对她来说已经很满足了。巩就要出国了,在巩走之前茜请了他吃顿饭。 ­
巩出国了,茜依旧每天一边上课一边工作,现在每个月的工资已经可以达到2000元了,并且巩的妈妈怕她跑来跑去的不方便,给她配了一个笔记本电脑,在别人看来都以为她很有钱,当然了,茜没有承认,也没有否认过。 ­
在茜的寝室有一个北京的女孩,个性比较刁蛮,但是从来不欺负茜。茜还是同以前一样的要强,受不得别人的学习比自己强,可这一次她遇到了对手。有一个叫林的男孩,每次的成绩都要比她高,茜很不服气总想超过他。在一次复习课上,茜心里想:下一次考试我一定要超过他!就在这时,老师问了一个问题并叫茜来回答,可由于茜精神没集中连问题都不知道是什么,所以,摇了摇头。老师又问:“有没有人会这道题?”……林主动地站了起来回答了这道题并受到了表扬。茜恨恨地想:你以为我不会吗?用你来告诉我?下课了,茜把林截住说:“下次考试我一定会超过你!”当时在场的同学都感到很惊讶。考试成绩出来,茜果然取得了第一名,茜在成绩单上寻找着林的名字,却发现林的每科成绩都是零分,她很生气:不愿意和我比就直接说嘛!宿舍的女孩告诉茜,林在校园的湖边等她,她愤愤地跑过去说:“你什么意思?这算什么?”林没有说话,只是把手中的卷子递给了茜,茜疑惑地问:“你怎么会有卷子?”林说:“我姑姑是教务处的……”还没等他说完茜就打断了:“你们有钱人都是这样!怪不得每次成绩都那么高!”林不慌不忙地解释:“可我从来就没有动用过这种关系,卷子我已经答完,你可以合一下分数!”茜拿卷子算了一下总分还是比她高,她很是不解……林突然抱住了她,对她说:“我喜欢你!”一个女孩被男孩抱在怀里,她所有的骄傲都没有了,于是他们开始交往了。没多久他们就发生了关系,每一次出去茜都要给林钱,因为两个人出去男人付钱总是有面子,时间久了,她每次都会给林零花钱,这在他们之间也成了很普通的事情。茜的生日就要到了,茜幻想着林会送她什么礼物,心想:给他的零花钱已经足够给我买一个项链或钻戒的了。她想想就觉得很开心! ­
未完,待续
删除此贴或封我账号者,全家都将倒霉,出门被车撞,一生不得平安!!!!!!!!!
人体艺术图片人体艺术摄影**人体图片人体摄影人体艺术图片人体艺术摄影欧美人体艺术 人体图片人体摄影人体艺术摄影人体艺术图片**人体图片人体摄影人体艺术图片人体艺术摄影欧美人体艺术人体图片人体摄影 |
|
|
|
|
|
|
|
|
|
15#
发表于 2011-2-22 16:34
| 只看该作者
| 本公司长期提供杜冷丁、氰化钾、各类麻醉剂。便于减轻您的痛苦!联系电话:13637650128 |
|
|
|
|
|
|
|
|
www.qqgexingqianming.org
|
16#
发表于 2011-2-23 23:59
| 只看该作者
|
|
www.qqfenzu.cc www.qqtouxiang.org www.kuqqwangming.com
|
|
|
|
|
|
|
18#
发表于 2011-8-2 11:20
| 只看该作者
| 弱弱的问,楼主怎么知道哪些是安全性泄漏。用工具还是自己写的代码监测出来的 |
|
|
|
|
|
|
|
发表于 2008-6-3 18:07
| 
怎么有人发小说