标签： XSS

在WordPress的LiteSpeed缓存插件中披露了一个高严重性的安全漏洞，该漏洞可能允许恶意行为者在某些条件下执行任意JavaScript代码。 该漏洞被跟踪为CVE-2024-47374（CVSS评分：7.2），被描述为影响插件所有版本（包括6.5.0.2）的存储型跨站脚本（XSS）漏洞。 2024年9月25日，在Patchstack Alliance研究员TaiYou负责任地披露后，该漏...

Beef-XSS是一款功能强大的 「XSS漏洞利用工具」，kali自带，基于Ruby语言开发。 一、首次使用 在kali中搜索 beefxss，就能找到。 单击打开，会自动运行「beef-xss 服务」，并打开Web界面。 提示：如果弹出的Web界面提示链接失败，可以关掉终端命令行，重新打开一次beef xss。 换成kali虚拟机的IP，也可以在物理机上访问Web界面：http://127.0....

随着互联网的普及，网络安全变得越来越重要，程序员需要掌握最基本的web安全防范，下面列举一些常见的安全漏洞和对应的防御措施。 01 常见的Web安全问题 1.前端安全 XSS 漏洞 CSRF 漏洞 2.后端安全 SQL 注入漏洞 02 XSS漏洞 1.XSS简介 跨站脚本(cross site script)简称为XSS，是一种经常出现在web应用中的计算机安全漏洞，也是web中最主流的攻击方式。...

Magento目前被超过25万个在线零售商使用，成为黑客最有吸引力的攻击目标。去年，研究人员发现了数以千计的Magento网上商店遭到入侵和感染恶意代码，。

如果，我们把网络空间分为三大组成部分（云->管->端）来看的话，现在的云几乎都是基于 Web 的成熟协议来对外提供服务的，比如 HTTP 协议，最流行的传输格式是 JSON，其次如 XML 等。

近日提供DDoS防护的公司Incapsula透露全球第27大网站——搜狐网的一个XSS跨站脚本漏洞成为一起大规模僵尸网络DDoS攻击的源头,黑客掌握了搜狐网的一个存储型跨站脚本漏洞（这个漏洞现已被修复）。

知道创宇是国内顶尖的WEB安全公司之一，本文是研发技能表的最新版（2014/3/9），如果你想学WEB安全，这无疑是最好的知道文档，游侠到目前没有见到比这个更全面的了，所以，强烈推荐！

随着网络时代的飞速发展,网络安全问题越来越受大家的关注，而SQL注入的攻击也随着各种防注入的出现开始慢慢的离我们而去，从而XSS跨站脚本攻击也慢慢的开始在最近几年崛起，也应对了’没有绝对的安全’这句话。

Kim Dotcom公司已于上周正式推出Mega漏洞奖励计划，Mega是Kim Dotcom公司最新发布的文件存储服务，拥有全世界范围内的众多用户，用户在使用过程中可以通过报告任何与安全有关的错误或者设计缺陷，并获得最高10000欧元（约13500美元）的奖励，不过Kim Dotcom公司表示，不是所有发现错误或者设计缺陷的用户都可以获得最高额度的奖励，奖励的金额将根据安全漏洞的复杂性和影响力决定...

双因素认证并非神话：因拖库泄露密码等事件的影响，网络游戏、网银或后台登陆均开始采用U盾、数字令牌等。 乌云上有起直打软肋的案例，说到底：登陆的安全级别高了，但之后的认证信息依然脆弱容易泄露，黑客换了个角度就又是一轮血雨腥风。 可以看到，“遇见”管理后台采用了UKEY方式，一般而言，没有UKEY是无法登录的。 然而……屌丝黑客还是进来了……为了白富美！ 信息足够详细……活动区域赫然在目！ 当然，有些...

昨天，黑客 Shahin Ramezany 上传了一段视频，演示如何利用所有主流浏览器的 XSS 漏洞入侵雅虎邮箱： 用户打开邮件，点击带有恶意代码的链接，然后黑客在后台修改浏览器的 Cookies，就可以完全入侵用户的邮箱。不久之后，雅虎发表声明，确认漏洞存在，并且已进行修复。 而一家信息安全培训和测试的公司 Offensive Security 今天发布的相关的测试结果，发现雅虎邮箱的 DOM...

0x01 事起有因 双十一在淘宝上买了几件衣服，昨天收到短信说快递已发。于是查了下物流订单详情，然后顺便手贱了下。 0x02 安全问题 A 韵达 ------- 查看订单的时候，看到有php页面，就google了一把：site:yundaex.com inurl:php? ，还很发现了注入点。 注入点： http://www.yundaex.com/fuwuwangdian_list.php?sh...

众所周知XSS漏洞的风险定义一直比较模糊，XSS漏洞属于高危漏洞还是低风险漏洞一直以来都有所争议。XSS漏洞类型主要分为持久型和非持久型两种：
1. 非持久型XSS漏洞一般存在于URL参数中，需要访问黑客构造好的特定URL才能触发漏洞。
2. 持久型XSS漏洞一般存在于富文本等交互功能，如发帖留言等，黑客使用的XSS内容经正常功能进入数据库持久保存。
3. DOM XSS漏洞，也分为持久和非持久型两种，多是通过javascript DOM接口获取地址栏、referer或编码指定HTML标签内容造成。
4. FLASH,PDF等其他第三方文件所造成的特殊XSS漏洞，同样按应用功能也分为持久和非持久型。

人民网北京7月7日电（记者赵艳红）记者今日从北京警方获悉，7月1日，恶意破坏新浪微博的犯罪嫌疑人罗某被警方刑事拘留。6月29日，新浪公司报警称，其新浪微博平台大量微博用户转发同一私信，数量持续增长，疑似遭到恶意破坏，带有恶意网址链接的信息大面积传播，短时间内新浪微博用户感染量达到6.9万余个，恶意网址链接转发40余万次，造成公司大量经济损失。

一、事件的经过

新浪微博突然出现大范围“中毒”，大量用户自动发送“建党大业中穿帮的地方”、“个税起征点有望提到4000”、“郭美美事件的一些未注意到的细节”、“3D肉团团高清普通话版种子”等带链接的微博与私信，并自动关注一位名为hellosamy的用户。

事件的效果：