偶然間發現一篇文章介紹到工行的官方站點竟然有漏洞,本文代碼均摘自http://www.phpobject.net/blog/read.php?82 主要的問題是跨域問題(XSS)還有就是對參數沒有設置過濾,一個金融系統的網站盡然有如此問題有點讓我害怕。
漏洞測試代碼:
還有一個更強的:
以上代碼均具有一定破壞性,只在學習提高網絡安全意識。慎用,非法用途後果自負!!
其實這些都是小問題,在很多project中我們自己也會範這樣的小問題,但問題就在於他是工商銀行一個金融系統,真不知道他們的程序設計人員怎麼考慮的,工作中沒有質量安全控制嗎?真危險!