[原创]支付宝alipay网站安全性测试漏洞之“跨站脚本注入攻击”
上一篇 / 下一篇 2008-06-24 09:32:52 / 精华(1) / 个人分类:安全性测试
查看( 5187 ) /
评论( 20 )
TAG:
- dwtzhb发布于2008-06-05 11:31:42
-
好东西好东西
- yuandjing 发布于2008-06-05 12:46:14
-
顶你一个牛人
- fpbaggio发布于2008-06-09 14:01:12
-
嗯,顶一下
虽然看的不是很明白
- hk75发布于2008-06-10 17:17:51
-
应该是误报?
修改下以前原文确实写的有些不正确,为了让大家更多的了解安全性测试,所以此贴更改为“支付宝alipay网站安全性测试漏洞之“跨站脚本注入式攻击” ”,如果发现什么漏洞,本人将第一时间贴在51testing与各位测试同仁分享^_^
[ 本帖最后由 卖烧烤的鱼 于 2008-6-11 13:25 编辑 ]
- wayen_zz发布于2008-06-11 13:19:44
-
修改下以前原文确实写的有些不正确,为了让大家更多的了解安全性测试,所以此贴更改为“支付宝alipay网站安全性测试漏洞之“跨站脚本注入式攻击” ”,如果发现什么漏洞,本人将第一时间贴在51testing与各位测试同仁分享^_^
[ 本帖最后由 卖烧烤的鱼 于 2008-6-11 13:25 编辑 ]
- 阿七 发布于2008-06-18 09:31:44
-
学习了,我的SQL知识 都还给老师了...
- hscurry发布于2008-07-01 13:36:13
-
什么意思?么看明白阿
- 卖烧烤的鱼 发布于2008-07-01 17:59:38
-
支付宝的忘记密码页面:https://www.alipay.com/user/forget_password.htm?,我通过更改脚本后,然后弹出“卖烧烤的鱼到此一游”对话框,存在跨站脚本注入,如果恶意使用者弹出的对话框中添加其它链接,比如木马链接或是其它,将会是用户受到影响^_^
- lijian422202发布于2008-07-28 18:26:21
-
这个叫漏洞吗 ? 其实对于支付宝本身是没有任何危险的,只要用户正常登陆就行,不要听信别人给的连接。
- 卖烧烤的鱼 发布于2008-07-29 09:49:06
-
回复 10# 的帖子
对支付宝的服务没有影响,但是这位朋友你要明确,安全性测试并不是说对你服务没有影响,就不是问题;
如果利用此漏洞,嵌入到论坛或是其它地方,弹出的提示引导用户链接到一个钓鱼网站和支付宝的一模一样,你认为用户登录后密码这些能被不盗取吗?
历史上类似的问题很多,你可以了解下如:
招商银行推出防御钓鱼网站安全软件“一网通网盾”
贝宝将推同步密码技术 应对钓鱼网站盗窃帐号
Microsoft IE“打印链接列表”跨区脚本注入漏洞
BUGTRAQ ID: 29217
Internet Explorer是微软发布的非常流行的WEB浏览器。
IE在处理HTML页面打印时存在漏洞,远程攻击者可能利用此漏洞通过诱骗用户打印恶意页面控制用户系统。
当用户打印页面时,Internet Explorer使用本地资源脚本生成所要打印的新HTML,该HTML包含以下元素:首部、网页主体、页脚,如果允许的话还有网页中链接列表。尽管脚本只使用链接内部数据中的文本,但没有验证链接的URL就直接添加到了HTML,这允许注入任意脚本,并在生成新的HTML时执行。
http://anquan.itjj.net/bug/bendi/20080520/296933.html
我相信如像微软这样的公司都会修复这样的漏洞,难道国内的公司不会修复呀!
- lijian422202发布于2008-07-29 10:39:41
-
谢谢,LZ的回复。学习了 谢谢,不知道哪里有比较好比较全的资料以供学习
- o℃的浪漫发布于2008-09-09 15:08:11
-
- capricorn 发布于2009-03-24 22:33:04
-
真强,对这方面的知识非常感兴趣。呵呵,能提供些资料吗?谢了
- idolifetime发布于2010-04-23 10:05:42
-
LZ好强哦
- ym_wei 发布于2010-06-18 15:06:21
-
学习中,谢了
- 炫彩琉璃 发布于2010-06-24 17:13:53
-
楼主太棒了~膜拜高人哈哈。关注中
- 炫彩琉璃 发布于2010-06-24 17:14:23
-
楼主太棒了~膜拜高人哈哈。关注中
- 炫彩琉璃 发布于2010-06-24 17:15:26
-
回复 1# 的帖子
楼主太棒了~膜拜高人哈哈。关注中
- zz402236991发布于2010-07-08 16:36:35
-
好帖子。。。
- wr322发布于2011-03-28 13:41:26
-
标题搜索
日历
|
|||||||||
日 | 一 | 二 | 三 | 四 | 五 | 六 | |||
1 | 2 | 3 | 4 | 5 | 6 | ||||
7 | 8 | 9 | 10 | 11 | 12 | 13 | |||
14 | 15 | 16 | 17 | 18 | 19 | 20 | |||
21 | 22 | 23 | 24 | 25 | 26 | 27 | |||
28 | 29 | 30 |
我的存档
数据统计
- 访问量: 52269
- 日志数: 27
- 建立时间: 2006-12-12
- 更新时间: 2010-01-14