[原创]快钱99bill网站安全性测试漏洞之“跨站式脚本注入”
网站安全性测试,尤为重要,电子支付网站更是如此,本文作者以实例介绍了
(1)“Yeepay网站安全测试漏洞之跨站脚本注入”,原文地址:
http://bbs.51testing.com/thread-113784-1-1.html;
(2)“网银在线chinabank安全漏洞之不完善的开发软件包”,原文地址:
http://bbs.51testing.com/thread-116660-1-1.html
(3)“支付宝alipay网站安全性测试漏洞之“无辜的备份文件”,原文地址:
http://bbs.51testing.com/thread-116821-1-1.html
(4)“支付宝alipay网站安全性测试漏洞之“SQL注入式攻击”,原文地址:
http://bbs.51testing.com/thread-116826-1-1.html
如果你想了解更多软件测试,安全性测试,性能测试,自动化测试,测试管理等知识!欢迎访问我的Blog:卖烧烤的鱼的测试博客: http://mayingbao.cnblogs.com
今天继续要介绍的是“跨站式脚本注入”,关此安全性问题,我之前的贴子“Yeepay网站安全测试漏洞之跨站脚本注入”,已经讲述,所以在此不在描述^_^
闲话不聊了,快钱99bill此signup.htm页面存在问题,访问如下构造的“跨站式脚本”(
已做修改,请不要恶意乱用)
https://www.99bill.com/website/s ... @163.com&email=>"><ScRiPt%20%0a%0d>alert(88888888888888888888.888888888888888888)%3B</ScRiPt>&identityConfirmEmail=mayingbao2002@163.com@a
其实此问题很好处理,最终原因是对“〈”未处理,如下图所示
其实快钱99bill电子支付网站,还有如下页面存在类似的安全性问题,列几个:
authentication.htm
signup.htm另authentication.htm页面,
还存在“sql注入式攻击漏洞”,希望早些发现解决^_^
