[原创] 支付宝alipay网站安全性测试漏洞之“无辜的备份文件”

上一篇 / 下一篇 2008-06-24 09:33:20 / 精华(1) / 个人分类：安全性测试

查看( 4114 ) / 评论( 11 )

[原创] 支付宝alipay网站安全性测试漏洞之“无辜的备份文件”

网站安全性测试，尤为重要，电子支付网站更是如此，本文作者以实例介绍了
（1）“Yeepay网站安全测试漏洞之跨站脚本注入”，原文地址：http://bbs.51testing.com/thread-113784-1-1.html；
（2） “网银在线chinabank安全漏洞之不完善的开发软件包”，原文地址：http://bbs.51testing.com/thread-116660-1-1.html
如果你想了解更多软件测试，安全性测试，性能测试，自动化测试，测试管理等知识！欢迎访问我的Blog：卖烧烤的鱼的测试博客:http://mayingbao.cnblogs.com

今天要介绍的是“无辜的备份文件“，经常备份文件是件好事，但是如果在安全性要求很高的行业中，需要特别重视，备份文件通常是包含脚本的来源，配置文件或其他敏感的信息可以帮助一个恶意用户编写更先进的攻击。
以下请看支付宝电子支付网站一个特例：访问https://www.alipay.com/static/teach/Copyof index.htm，你发现了什么，是不是如下图所示：

alipay.gif

论坛模式推荐收藏分享给好友管理

TAG:

lovsnow 发布于2008-06-05 11:25:09: 最近没露面，原来在研究这个啊。
不错。

wayen_zz发布于2008-06-11 13:32:53: 米看出来跟备份有啥关系呢
是楼主用了Copy of index 吗
好像https://www.alipay.com/static/ 后面随便乱写个链接都返回这个吧。感觉下面是嵌套页面，返回错误提示页面而已。

test.JPG

卖烧烤的鱼发布于2008-06-11 14:06:38: 这个名字起的是有些不对称，其实我上面也注名了想表达:
备份文件通常是包含脚本的来源，配置文件或其他敏感的信息可以帮助一个恶意用户编写更先进的攻击。支付宝的这个页面仅仅是一个小的问题，嵌套页面，返回错误提示页面
此文件https://www.alipay.com/static/teach/Copy of index.htm，是用户可以直接访问获取得到的，做为实施安全策略，需要备份的文件，建议最好不要让其在备份的文件目录用户可以访问^_^

[ 本帖最后由卖烧烤的鱼于 2008-6-11 14:21 编辑 ]