51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 12669|回复: 11
打印 上一主题 下一主题

[原创] 支付宝alipay网站安全性测试漏洞之“无辜的备份文件”

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2008-6-5 10:22:37 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
[原创] 支付宝alipay网站安全性测试漏洞之“无辜的备份文件”

网站安全性测试,尤为重要,电子支付网站更是如此,本文作者以实例介绍了
(1)“Yeepay网站安全测试漏洞之跨站脚本注入”,原文地址:http://bbs.51testing.com/thread-113784-1-1.html
(2) “网银在线chinabank安全漏洞之不完善的开发软件包”,原文地址: http://bbs.51testing.com/thread-116660-1-1.html
如果你想了解更多软件测试,安全性测试,性能测试,自动化测试,测试管理等知识!欢迎访问我的Blog:卖烧烤的鱼的测试博客: http://mayingbao.cnblogs.com

今天要介绍的是“无辜的备份文件“,经常备份文件是件好事,但是如果在安全性要求很高的行业中,需要特别重视,备份文件通常是包含脚本的来源,配置文件或其他敏感的信息可以帮助一个恶意用户编写更先进的攻击。
以下请看支付宝电子支付网站一个特例:访问https://www.alipay.com/static/teach/Copy of index.htm,你发现了什么,是不是如下图所示:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing

x
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

该用户从未签到

2#
发表于 2008-6-5 11:25:09 | 只看该作者
最近没露面,原来在研究这个啊。
不错。
回复 支持 反对

使用道具 举报

该用户从未签到

3#
发表于 2008-6-11 13:32:53 | 只看该作者
米看出来跟备份有啥关系呢
是楼主用了Copy of index 吗
好像https://www.alipay.com/static/ 后面随便乱写个链接都返回这个吧。感觉下面是嵌套页面,返回错误提示页面而已。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing

x
回复 支持 反对

使用道具 举报

该用户从未签到

4#
 楼主| 发表于 2008-6-11 14:06:38 | 只看该作者
这个名字起的是有些不对称,其实我上面也注名了想表达:
备份文件通常是包含脚本的来源,配置文件或其他敏感的信息可以帮助一个恶意用户编写更先进的攻击。支付宝的这个页面仅仅是一个小的问题,嵌套页面,返回错误提示页面
此文件https://www.alipay.com/static/teach/Copy of index.htm,是用户可以直接访问获取得到的,做为实施安全策略,需要备份的文件,建议最好不要让其在备份的文件目录用户可以访问^_^

[ 本帖最后由 卖烧烤的鱼 于 2008-6-11 14:21 编辑 ]
回复 支持 反对

使用道具 举报

  • TA的每日心情

    2015-9-10 15:08
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    5#
    发表于 2008-6-18 09:29:55 | 只看该作者
    可以用注入工具 和 明小子 扫描漏洞
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    6#
    发表于 2008-7-20 17:09:48 | 只看该作者
    THANKS
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    7#
    发表于 2008-7-21 11:26:44 | 只看该作者

    这个不是漏洞呢

    楼主,这个并不是漏洞,你再试试任何一个不存在的网页,都是跳转到这个页面的。
    别误导别人了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    8#
     楼主| 发表于 2008-7-21 13:19:36 | 只看该作者

    回复 7# 的帖子

    我4楼已解释的很清了,不存在误导别人
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    9#
    发表于 2008-7-24 22:35:49 | 只看该作者
    哈哈,支付宝好像意识到了这个问题,改正了。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    10#
    发表于 2008-11-10 15:23:40 | 只看该作者
    公开发布其他网站的安全事件是一种不道德行为
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    11#
    发表于 2009-11-14 12:03:21 | 只看该作者

    回复 10# 的帖子

    楼上的怎么得了便宜还卖乖啊。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    12#
    发表于 2011-3-28 13:52:10 | 只看该作者
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-14 13:01 , Processed in 0.079242 second(s), 28 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表