标签: XSS

新浪微博被XSS攻击 中毒用户自动发布病毒链接

 2011年6月28日

凤凰网科技讯6月28日晚间消息,今天晚上新浪微博出现部分用户大量“刷屏”情况,业内人士确认是“微博病毒”爆发。

新浪微博刷屏病毒链接

据了解,用户中毒后会在短时间内自动发布“建党大业中穿帮的地方”、“3D肉团团高清普通话版种子”等大量带链接内容,同时会向粉丝发送带病毒链接的私信,中毒用户反映,粉丝

 栏目: 业界  Tagged: , , , , ,

XSS简单渗透测试 From 80sec

 2010年5月21日

  xss简单渗透测试
  
  Author: jianxin [80sec]
  EMail: jianxin#80sec.com
  Site: http://www.80sec.com
  Date: 2008-12-24
  From: http://www.80sec.com/release/xss-how-to-root.txt
  
  [ 目录 ]
  
  0×00 前言
  0×01 xss渗透测试基本思路
  0×02 一次黑盒的xss渗透测试
  0×03 一次白盒的xss渗透测试
...

 栏目: 安全  Tagged: , ,

3Gweb自防御网站服务器简介

 2010年5月4日

  简介:3Gweb自防御网站服务器(Self-Defending Web Server)是一种整合了OS,自防御系统,HTTP服务器,数据库,Web开发环境,通信和其它软件,以及特殊架构计算机在内的新一代网站服务器装置。它提供一种前所未有的高可信和高安全的综合Web平台,并提供最大的便利性。3Gweb的主功能还是基于http协议的“得到访问者的请求,送回信息”的Web功能,但同时,在其内部植入了最先进的人体“自我防御”机制。因此3Gweb具有超强的抗攻击和抗入侵能力,无论是对“已知攻击”还是“未知攻击”,无论是来自“通信层”,还是“应用层”的攻击。
...

 栏目: 安全  Tagged: , , , ,

CSRF攻击的原理解析与对策研究[转载]

 2010年4月25日

  1、引言

  跨站点请求伪造(Cross—Site Request Forgery)。以下简称CSRF。是一种广泛存在的网站漏洞。Gmail、YouTube等着名网站都有过CSRF漏洞。甚至包括“ING DIRECT”这样的荚国第四大储蓄银行的金融机构网站。2009年3月着名网络安全机构SANS与MITRE结合来自全球超过30个软件工作者及安全专家,将CSRF列为最危险的25个编程错误之一。

  2、现有的Web安全缺陷

  2.1 Web安全策略

  与CSRF有关的主要有三个Web安全策略:同源策略、Cookie安全策略和Flash安全策略。
...

 栏目: 安全  Tagged: , , , , ,

XSS攻击防御技术白皮书

 2010年4月2日

  1 背景知识
  
  1.1 什么是XSS攻击
  
  XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击”,而JavaScript是新型的“ShellCode”。
...

 栏目: 安全  Tagged: , , , , ,

人民网“微博”频道上线首日即出现严重安全问题

 2009年12月22日

QQ有朋友发给我一个地址http://t.people.com.cn,是人民网的微博频道,貌似今天刚开业?结果打开后发现…… 再刷新一下: 看下下面的内容: 跨站……人民网微博频道很郁闷?抓图时间:2009年12月22日15:15,截止到15:25,已经不再弹出窗口,人民网行动够快…… 相关:抗议MSN数码IT频道转载本博文章并抹去水印的行为

 栏目: 业界  Tagged: , , , ,

收到了外交部网站的反馈信息

 2009年9月14日

  前几天游侠(https://www.youxia.org)曾经在博客提到,说外交部的网站有跨站脚本漏洞(原文链接:[中国人民共和国外交部网站的一个跨站漏洞],然后从外交部网站找到管理员的邮箱发了一封邮件,今天得到了回复。

  信中说此XSS/CSS问题已经修复,上去看看,依然提交以前的测试语句:

  可以看到,的确已经修复了。外交部网站管理员的效率还是比较高的。
  我说:得到了外交部网站工作人员的表扬;哥们说:得强调下,是书面表扬 🙂
  对外交部网站工作人员的态度表示赞赏,要知道:以前经常发现网站有漏洞,写个木马过去,然后给管理员发邮件说网站存在漏洞,是否需要帮助?人家都不鸟你……除非哪天网站彻底挂掉……

 栏目: 随笔  Tagged: , , , , , ,

中国人民共和国外交部网站的一个跨站漏洞

 2009年9月2日

  中华人民共和国外交部网站 http://www.fmprc.gov.cn
  这个XSS漏洞不难利用,问题在 search.jsp 文件过滤不严格,且没有过滤post提交的数据,我们看看攻击的截图:

  或者这个:

  当然,用来做点别的也行……
  测试链接:

http://www.fmprc.gov.cn/wjb/search.jsp?searchword=<script>alert('youxia')</script>

  或在:
  http://www.fmprc.gov.cn/wjb/search.jsp
  搜索框中输入:

<script>alert('youxia')</script>

 栏目: 随笔  Tagged: ,