首页 > 资讯 > 跨站攻击 > 正文

小心跨站脚本蠕虫大闹网易博客

16-01-08        来源：[db:作者]  

收藏   我要投稿

现今黑客关于XSS的攻击是越来越火了，OWASP这个WEB安全组织已经将XSS列为2007年 WEB安全威胁第一位.然而国内网站对这个问题并没有重视起来，几乎所有的大型门户网站都存在这个漏洞，其中关于博客的安全问题尤为严重，国外的 MYSPACHE站点曾经发生过这样一个事件，一个叫samy的人利用XSS漏洞写了世界上第一只跨站脚本蠕虫，20小时内就传染了一百万个用户，最后导 致MySpace站瘫痪.前车之鉴，如果这些漏洞给黑客利用在博客上，后果将不堪设想！

    以前针对SOHU的BLOG做过测试，确认证明了此类攻击的可行性，最近听说网易的BLOG人气不错，那么我们就来挖掘一下漏洞,类似这种跨站脚本蠕虫首 先必须找一个页面通用的地方测试是否能写入XSS，比如SOHU BLOG的个人档案，关于网易我已经找到了一处，就在自定义模块功能，如图1

    下面测试一下构造javascript的字符是否被过滤，如图2     结果全部被过滤，看来已经做了XSS的黑名单，可是没关系，我们可以从白名单入手，也就是在内容里能写入的正常HTML标记里插入javascript,正好此处提供了一个特效字的功能，如图3

上一篇：PHPCMS取消搜索时的分词功能的方法

下一篇：XSS Phishing - 新式跨站脚本攻击方式

• 如何判断DIV中的内容为空
• QQ空间个性英文留言代码：因为你不懂
• 没关系再捅我几刀依然骄傲
• 重复记录（duplicaterecords）数据的相关操作