[原创]快钱99bill网站安全性测试漏洞之“跨站式脚本注入”
网站安全性测试,尤为重要,电子支付网站更是如此,本文作者以实例介绍了
(1)“Yeepay网站安全测试漏洞之跨站脚本注入”,原文地址: http://bbs.51testing.com/thread-113784-1-1.html;
(2)“网银在线chinabank安全漏洞之不完善的开发软件包”,原文地址: http://bbs.51testing.com/thread-116660-1-1.html
(3)“支付宝alipay网站安全性测试漏洞之“无辜的备份文件”,原文地址: http://bbs.51testing.com/thread-116821-1-1.html
(4)“支付宝alipay网站安全性测试漏洞之“SQL注入式攻击”,原文地址: http://bbs.51testing.com/thread-116826-1-1.html
如果你想了解更多软件测试,安全性测试,性能测试,自动化测试,测试管理等知识!欢迎访问我的Blog:卖烧烤的鱼的测试博客: http://mayingbao.cnblogs.com/
今天继续要介绍的是“跨站式脚本注入”,关此安全性问题,我之前的贴子“Yeepay网站安全测试漏洞之跨站脚本注入”,已经讲述,所以在此不在描述^_^
闲话不聊了,快钱99bill此signup.htm页面存在问题,访问如下构造的“跨站式脚本”( 已做修改,请不要恶意乱用)
https://www.99bill.com/website/signup/signup.htm?identityType=1&idContentReadOnly=mayingbao2002@163.com&RadioGroup1=mayingbao2002@163.com&email=>"><ScRiPt%20%0a%0d>alert(88888888888888888888.888888888888888888)%3B</ScRiPt>&identityConfirmEmail=mayingbao2002@163.com@a
其实此问题很好处理,最终原因是对“〈”未处理,如下图所示
其实快钱99bill电子支付网站,还有如下页面存在类似的安全性问题,列几个:
authentication.htm
signup.htm另authentication.htm页面, 还存在“sql注入式攻击漏洞”,希望早些发现解决^_^
[ 本帖最后由 卖烧烤的鱼 于 2008-6-5 16:10 编辑 ]
附件
- 99bill.gif (14.98 KB)
-
2008-6-5 16:06
[原创]快钱99bill网站安全性测试漏洞之“跨站式脚本注入”相关推荐
- [原创]下一代Web 应用程序安全性测试工具HP WebInspect简介
[原创]下一代Web 应用程序安全性测试工具HP WebInspect简介 主要功能介绍: 利用创新的评估技术检查 Web 服务及 Web 应用程序的安全 自动执行 Web 应用程序安全测试和评估 在 ...
- Magento 快钱(99Bill)支付网关(Payment Gateway)
Magento 快钱(99Bill)支付网关(Payment Gateway)已经开发完成并测试好 朋友们如有以上开发需求可以联系我们: Graham Information System Corpo ...
- Java 过滤器解决URLSQL注入漏洞、跨站漏洞、框架注入漏洞、链接注入漏洞
一. 漏洞描述 1. 检测到目标URL存在SQL注入漏洞 很多WEB应用中都存在SQL注入漏洞.SQL注入是一种攻击者利用代码缺陷进行攻击的方式,可在任何能够影响数据库查询的应用程序参数中利用.例如u ...
- 漏洞解决方案-跨站请求伪造漏洞
跨站请求伪造漏洞CSRF 跨站请求伪造漏洞CSRF 一.问题描述: 二.整改建议: 三.案例: 1. 客户端进行CSRF防御 2. 服务端进行CSRF防御 跨站请求伪造漏洞CSRF 一.问题描述: C ...
- pplive网站2处存储型跨站弱点
漏洞详情 披露状态: 2010-07-30: 积极联系厂商并且等待厂商认领中,细节不对外公开 2010-07-30: 厂商已经主动忽略漏洞,细节向公众公开 简要描述: pplive网站2处存储型跨站弱 ...
- Web漏洞-Xss跨站
25.Xss跨站之原理分类及攻击方法 原理 XSS 跨站漏洞产生原理,危害,特点? 本质,产生层面,函数类,漏洞操作对应层,危害影响,浏览器内核版本等 本质 跨站脚本攻击是指攻击者往Web页面里插入恶 ...
- xss漏洞-DVWA跨站攻击盗取用户cookie值
程Kaedy.cn-www.kaedy.cn XSS跨站脚本攻击介绍 跨站脚本攻击英文全称为(Cross site Script)缩写为 CSS,但是为了和层叠样式表(Cascading Style ...
- Pbootcms网站防黑、防跨站的经验分享
1.不建议随时更新 不懂的小白,在安装后不建议点击更新. 2.及时修改后台账号和密码 许多网站被黑就是由于没有修改默认地址和用户名密码等. 3.及时开启防跨站 特别是一个服务器.同一个域名下部署有多个 ...
- 苹果 Safari浏览器新漏洞敲响跨站用户跟踪的警钟
简介:大家好,我是枫哥,
最新文章
- 解决apache服务器默认编码为西欧编码的问题
- leetcode算法题--骑士拨号器
- 怎样把 Boot Camp 里 Windows 的色温调节得和 Mac OS X 一致
- python两数之和(hash 表)
- Brodatz纹理图像库
- 计算机一级b考试理论知识,计算机一级b-一级计算机等级考试中的“一级B”指什么?谢谢! 爱问知识人...
- JZOJ 2309. 【中山市选2011】辽哥游戏
- win10系统winsxs文件夹该如何删除
- php 需要已安装且正在运行的邮件系统_php如何发送邮件?一个函数轻松搞定
- P2605 [ZJOI2010]基站选址
- dos命令之md详解及实例应用
- 语义分割网络之PSPnet
- 有关白鹭egret引擎EUI Editor 打开项目报错问题的解决
- 【FineReport】常用快捷键
- 【题解】HNOI-2015落忆枫音
- 【redis】跟我一起动手玩玩redis主从复制和哨兵模式
- 软件测试面试常见问题
- Android中实现双指缩放的功能
- OFDM专题之如何计算OFDM一个符号的功率,功率谱密度
- 简单 Quartz定时器使用 入门