[原创]快钱99bill网站安全性测试漏洞之“跨站式脚本注入”

卖烧烤的鱼 · 发表于 2008-6-5 16:06:21

[原创]快钱99bill网站安全性测试漏洞之“跨站式脚本注入”
网站安全性测试，尤为重要，电子支付网站更是如此，本文作者以实例介绍了
（1）“Yeepay网站安全测试漏洞之跨站脚本注入”，原文地址：http://bbs.51testing.com/thread-113784-1-1.html；
（2）“网银在线chinabank安全漏洞之不完善的开发软件包”，原文地址： http://bbs.51testing.com/thread-116660-1-1.html
（3）“支付宝alipay网站安全性测试漏洞之“无辜的备份文件”，原文地址：http://bbs.51testing.com/thread-116821-1-1.html
（4）“支付宝alipay网站安全性测试漏洞之“SQL注入式攻击”，原文地址：http://bbs.51testing.com/thread-116826-1-1.html

如果你想了解更多软件测试，安全性测试，性能测试，自动化测试，测试管理等知识！欢迎访问我的Blog：卖烧烤的鱼的测试博客: http://mayingbao.cnblogs.com
今天继续要介绍的是“跨站式脚本注入”，关此安全性问题，我之前的贴子“Yeepay网站安全测试漏洞之跨站脚本注入”，已经讲述，所以在此不在描述^_^
闲话不聊了，快钱99bill此signup.htm页面存在问题，访问如下构造的“跨站式脚本”（已做修改，请不要恶意乱用）
https://www.99bill.com/website/s ... @163.com&email=>"><ScRiPt%20%0a%0d>alert(88888888888888888888.888888888888888888)%3B</ScRiPt>&identityConfirmEmail=mayingbao2002@163.com@a

其实此问题很好处理，最终原因是对“〈”未处理，如下图所示
其实快钱99bill电子支付网站，还有如下页面存在类似的安全性问题，列几个：
authentication.htm
signup.htm另authentication.htm页面，还存在“sql注入式攻击漏洞”，希望早些发现解决^_^