偶然间发现一篇文章介绍到工行的官方站点竟然有漏洞,本文代码均摘自http://www.phpobject.net/blog/read.php?82 主要的问题是跨域问题(XSS)还有就是对参数没有设置过滤,一个金融系统的网站尽然有如此问题有点让我害怕。
漏洞测试代码:
http://www.icbc.com.cn/click/adver/adver.jsp?para=javascript:test()";function%20test(){document.write('%B9%A4%D0%D0%BD%F4%BC%B1%CD%A8%D6%AA%A3%BA%B9%A4%D0%D0%D0%C2%CE%C5%CF%B5%CD%B3%B3%F6%CF%D6%D1%CF%D6%D8%C2%A9%B6%B4%A3%AC%D0%A1%D0%C4%B1%BB%C6%AD')}
还有一个更强的:
以上代码均具有一定破坏性,只在学习提高网络安全意识。慎用,非法用途后果自负!!
其实这些都是小问题,在很多project中我们自己也会范这样的小问题,但问题就在于他是工商银行一个金融系统,真不知道他们的程序设计人员怎么考虑的,工作中没有质量安全控制吗?真危险!