[原创] 支付宝alipay网站安全性测试漏洞之“跨站脚本注入攻击”

网站安全性测试，尤为重要，电子支付网站更是如此，本文作者以实例介绍了
（1）“Yeepay网站安全测试漏洞之跨站脚本注入”，原文地址：http://bbs.51testing.com/thread-113784-1-1.html；
（2）“网银在线chinabank安全漏洞之不完善的开发软件包”，原文地址： http://bbs.51testing.com/thread-116660-1-1.html
（3）“支付宝alipay网站安全性测试漏洞之“无辜的备份文件”，原文地址：http://bbs.51testing.com/thread-116821-1-1.html
如果你想了解更多软件测试，安全性测试，性能测试，自动化测试，测试管理等知识！欢迎访问我的Blog：卖烧烤的鱼的测试博客: http://mayingbao.cnblogs.com

今天要继续介绍的是跨站式脚本注入，以支付字www.alipay.com网站为例：
经本文作者验证“支付宝”此页面存在“跨站脚本注入攻击”，忘记密码页面：https://www.alipay.com/user/forget_password.htm?
好些朋友给我说脚本修改后，他们看不懂，所以以后的安全性测试例子，脚本将全盘放出，请不要乱用，免的伤了花花草草^_^

在浏览器下访问如下：https://www.alipay.com/user/forg ... ng&_fmu.f._0.p="></STYLE><STYLE>@import"javascript:alert('卖烧烤的鱼到此一游')";</STYLE>&_fmu.f._0.e=我是卖烧烤的鱼


还没搞懂51testing这个论坛怎么将上传的图片删除，所以显示很乱，请见谅

[ 本帖最后由 卖烧烤的鱼 于 2008-6-11 13:58 编辑 ]

好东西好东西

顶你一个牛人

嗯，顶一下
虽然看的不是很明白

修改下以前原文确实写的有些不正确，为了让大家更多的了解安全性测试，所以此贴更改为“支付宝alipay网站安全性测试漏洞之“跨站脚本注入式攻击” ”，如果发现什么漏洞，本人将第一时间贴在51testing与各位测试同仁分享^_^

[ 本帖最后由 卖烧烤的鱼 于 2008-6-11 13:25 编辑 ]

修改下以前原文确实写的有些不正确，为了让大家更多的了解安全性测试，所以此贴更改为“支付宝alipay网站安全性测试漏洞之“跨站脚本注入式攻击” ”，如果发现什么漏洞，本人将第一时间贴在51testing与各位测试同仁分享^_^

[ 本帖最后由 卖烧烤的鱼 于 2008-6-11 13:25 编辑 ]

学习了，我的SQL知识 都还给老师了...

什么意思？么看明白阿

支付宝的忘记密码页面：https://www.alipay.com/user/forget_password.htm?，我通过更改脚本后，然后弹出“卖烧烤的鱼到此一游”对话框，存在跨站脚本注入，如果恶意使用者弹出的对话框中添加其它链接，比如木马链接或是其它，将会是用户受到影响^_^

这个叫漏洞吗 ？ 其实对于支付宝本身是没有任何危险的，只要用户正常登陆就行，不要听信别人给的连接。

对支付宝的服务没有影响,但是这位朋友你要明确，安全性测试并不是说对你服务没有影响，就不是问题；
如果利用此漏洞，嵌入到论坛或是其它地方，弹出的提示引导用户链接到一个钓鱼网站和支付宝的一模一样，你认为用户登录后密码这些能被不盗取吗？
历史上类似的问题很多，你可以了解下如：
招商银行推出防御钓鱼网站安全软件“一网通网盾”
贝宝将推同步密码技术 应对钓鱼网站盗窃帐号
Microsoft IE“打印链接列表”跨区脚本注入漏洞
BUGTRAQ  ID: 29217

Internet Explorer是微软发布的非常流行的WEB浏览器。

IE在处理HTML页面打印时存在漏洞，远程攻击者可能利用此漏洞通过诱骗用户打印恶意页面控制用户系统。

当用户打印页面时，Internet Explorer使用本地资源脚本生成所要打印的新HTML，该HTML包含以下元素：首部、网页主体、页脚，如果允许的话还有网页中链接列表。尽管脚本只使用链接内部数据中的文本，但没有验证链接的URL就直接添加到了HTML，这允许注入任意脚本，并在生成新的HTML时执行。
http://anquan.itjj.net/bug/bendi/20080520/296933.html

我相信如像微软这样的公司都会修复这样的漏洞，难道国内的公司不会修复呀！

谢谢，LZ的回复。学习了 谢谢，不知道哪里有比较好比较全的资料以供学习