zoukankan      html  css  js  c++  java
  • [原创]网银在线chinabank安全漏洞之“不完善的开发软件包”

    [原创]网银在线chinabank安全漏洞之“不完善的开发软件包”
    http://www.chinabank.com.cn/index/index.shtml

    题外话:最新在新公司上班,规划整个测试团队和流程建设,由于公司采用outlook2003做为内部沟通交流,非常计厌outlook垃圾邮件过滤功能,每天垃圾邮件近1000以上,后来上官方打了补丁才解决了此问题;话说到这,网站安全性测试也可能存在类似的问题,所以就有了此文:

    网站安全性测试,尤为重要,本文作者上篇以实例介绍了“Yeepay网站安全测试漏洞之跨站脚本注入”,以下为具体的地址:
    详细地址:http://bbs.51testing.com/thread-113784-1-1.html
    或是:卖烧烤的鱼的测试博客: http://mayingbao.cnblogs.com/,访问此可以了解更多软件测试,安全性测试,性能测试,自动化测试,测试管理等知识!

    今天我要说的是另一种安全性测试,“不完善的开发软件包”,通俗讲就是软件版本过低,存在自身的安全漏洞,但是项目采用了此类型的软件,以下用“网银在线chinabank”
    http://www.chinabank.com.cn/index/index.shtml   来说明此问题:
    经本文作者验证,网银在线的软件开发包采用存在问题的是:
    PHP/4.4.2   此版本存在Possible code execution, SQL injection, ...
    Apache/2.0.58 官方提供此版本存在An attacker may exploit this issue to trigger a denial-of-service condition. Reportedly, arbitrary code execution may also be possible.

    经本文作者验证,网银在线还存在一些其它漏洞如下:
    无效的链接:•        /gateway/about_us/2006/20060225.shtml
    •        /gateway/about_us/company/news/2006/2006/20061116.shtml
    •        /gateway/about_us/company/news/2007/jinbihe/Scripts/AC_RunActiveContent.js
    •        /gateway/css/index.css
    •        /gateway/gateway/link.shtml
    •        /gateway/gtime/200803month/2008-3-19.html
    •        /gateway/international/demo.shtml
    •        /gateway/international/demo_1.shtml
    •        /gateway/register/index.shtml
    •        /gateway/rmb_card/cardtype.shtml
    •        /gateway/security.shtml
    •        /mall/lipin.asp (GET ProID=LP01)
    •        /mall/lipin.asp (GET ProID=LP02)
    •        /mall/lipin.asp (GET ProID=LP03)
    •        /wuyouxing.jsp (GET v_mid=1509)    //具体不清这些以前是做什么用的,如果是方便运营上线测试的,应当删除掉
    希望其网站可以早些时间发现,电子支付安全性非常重要,且勿留下漏洞^_^
  • 相关阅读:
    [Jobdu] 题目1528:最长回文子串
    [Jobdu] 题目1510:替换空格
    [Leetcode] Candy
    [Leetcode] Jump Game
    [Leetcode] Longest Valid Parentheses
    [Leetcode] Triangle
    [Leetcode] Populating Next Right Pointers in Each Node
    java web作用域page request session application
    String对象不可改变的特性及内存机制
    Java IO
  • 原文地址:https://www.cnblogs.com/mayingbao/p/1213237.html
Copyright © 2011-2022 走看看