博主简介:
八年软件测试,五年测试管理,熟悉电商/支付/证券方面测试,研究性能,安全,自动化等测试技术;目前从事互联网金融证券测试!
[原创]网银在线chinabank安全漏洞之不完善的开发软件包
上一篇 /
下一篇 2008-06-24 09:33:38
/ 精华(1)
/ 个人分类:安全性测试
查看( 3860 ) /
评论( 19 )
[原创]网银在线chinabank安全漏洞之不完善的开发软件包
http://www.chinabank.com.cn/index/index.shtml题外话:最新在新公司上班,规划整个
测试团队和流程建设,由于公司采用outlook2003做为内部沟通交流,非常计厌outlook垃圾邮件过滤功能,每天垃圾邮件近1000以上,后来上官方打了补丁才解决了此问题;话说到这,网站安全性测试也可能存在类似的问题,所以就有了此文:
网站安全性测试,尤为重要,本文作者上篇以实例介绍了“Yeepay网站
安全测试漏洞之跨站脚本注入”,以下为具体的地址:
详细地址:
http://bbs.51testing.com/thread-113784-1-1.html或是:卖烧烤的鱼的测试博客:http://mayingbao.cnblogs.com,访问此可以了解更多软件测试,安全性测试,性能测试,自动化测试,测试管理等知识!今天我要说的是另一种安全性测试
,“不完善的开发软件包”,通俗讲就是软件版本过低,存在自身的安全漏洞,但是项目采用了此类型的软件,以下用“网银在线chinabank”
http://www.chinabank.com.cn/index/index.shtml 来说明此问题:
经本文作者验证,网银在线的软件开发包采用存在问题的是:
PHP/4.4.2 此版本存在Possible code execution, SQL injection, ...
Apache/2.0.58 官方提供此版本存在An attacker may exploit this issue to trigger a denial-of-service condition. Reportedly, arbitrary code execution may also be possible.经本文作者验证,网银在线还存在一些
其它漏洞如下:
无效的链接:• /gateway/about_us/2006/20060225.shtml
• /gateway/about_us/company/news/2006/2006/20061116.shtml
• /gateway/about_us/company/news/2007/jinbihe/scrīpts/AC_RunActiveContent.js
• /gateway/css/index.css
• /gateway/gateway/link.shtml
• /gateway/gtime/200803month/2008-3-19.html
• /gateway/international/demo.shtml
• /gateway/international/demo_1.shtml
• /gateway/register/index.shtml
• /gateway/rmb_card/cardtype.shtml
• /gateway/security.shtml
• /mall/lipin.asp (GET ProID=LP01)
• /mall/lipin.asp (GET ProID=LP02)
• /mall/lipin.asp (GET ProID=LP03)
•
/wuyouxing.jsp(GET v_mid=1509) //具体不清这些以前是做什么用的,如果是方便运营上线测试的,应当删除掉
希望其网站可以早些时间发现,
电子支付安全性非常重要,且勿留下漏洞^_^
论坛模式
推荐
收藏
分享给好友
管理
TAG:
-
阿七
发布于2008-06-04 09:51:02
-
鱼哥 终于露面咯
呵呵
-
fumi
发布于2008-06-23 16:49:29
-
厉害 ,顶顶
-
盛唐校尉发布于2008-07-31 16:58:22
-
虽然还不明白!但还是顶一下!我们这个版的人气不是很旺啊!
-
Jon
发布于2008-10-31 14:12:00
-
顶 不错
-
jingweiqin发布于2009-02-08 16:43:11
-
不是很明白,呵呵,但是楼主很厉害啊
-
金铃发布于2009-07-22 13:13:24
-
谢谢分享
-
GeorgeWangLC
发布于2009-09-28 21:18:34
-
回复 1# 的帖子
UP
-
jx9747
发布于2010-03-25 13:52:03
-
UP
-
chelili发布于2010-06-11 17:10:31
-
谢谢分享。。。。
-
chelili发布于2010-06-11 17:15:24
-
很不错。。。顶顶的了!!!
-
hbali
发布于2010-11-25 19:02:15
-
发现LZ 的功底很深,值得学习
-
白村人发布于2011-02-23 23:59:51
-
发现LZ 的功底很深,值得学习
-
qingyi0711
发布于2011-03-29 23:15:03
-
不错。。。。。。顶。。。呵呵
-
candyzc
发布于2011-08-02 11:20:39
-
弱弱的问,楼主怎么知道哪些是安全性泄漏。用工具还是自己写的代码监测出来的
-
yihao1019发布于2011-09-01 13:11:57
-
顶 一个
-
maclehappy13发布于2011-11-07 12:51:59
-
怎么有人发小说
-
F-freya-发布于2011-11-15 11:05:32
-
up
-
chris_cheng1发布于2011-11-29 10:45:14
-
-
weiweixiaocao发布于2012-05-13 15:12:58
-
真的牛,双手赞成,谢谢了