微信被曝跨站腳本漏洞 朋友圈已被徹底玩壞!
今天早上,朋友圈再次炸開了鍋,打開朋友圈,發現組織代碼,分享到朋友圈,就可以彈窗。微信這次又炸了,康眾暢想(國內草根級別網路安全公司)聯合計算機病毒防禦中心反入侵實驗室發現跨站腳本漏洞依舊存在啊!微信方面也並未對此事發表任何官方聲明,朋友圈被徹底玩壞!來不及解釋了,快上圖!
搜索一下,打開就會彈窗了,是時候要盜cookies了,嘿嘿(微笑臉)!
具體操作流程:分享格式發送朋友圈,在定位處添加模板代碼,這樣的
PS:跨站腳本漏洞是由於程序員在編寫程序時對用戶提交的數據沒有做充分的合規性判斷和進行HTML編碼處理,直接把數據輸出到瀏覽器客戶端,這樣導致用戶可以提交一些特意構造的腳本代碼或HTML標籤代碼,並在輸出到瀏覽器時被執行。黑客利用跨站漏洞輸入惡意的腳本代碼,當惡意的代碼被執行後就形成了所謂的跨站攻擊。一般來說對於人機交互比較高的程序,比如論壇,留言板這類程序都比較容易進行跨站攻擊。
利用跨站漏洞黑客可以在網站中插入任意代碼,這些代碼的功能包括獲取網站管理員或普通用戶的cookie,隱蔽運行網頁木馬,甚至格式化瀏覽者的硬碟,只要腳本代碼能夠實現的功能,跨站攻擊都能夠達到,因此跨站攻擊的危害程度絲毫不亞於溢出攻擊。
附,Img xss 姿勢
(1)普通的XSS JavaScript注入
(2)IMG標籤XSS使用JavaScript命令
(3)IMG標籤無分號無引號
(4)IMG標籤大小寫不敏感
(5)HTML編碼(必須有分號)
(6)修正缺陷IMG標籤
」>
(7)formCharCode標籤(計算器)
(8)UTF-8的Unicode編碼(計算器)
(9)7位的UTF-8的Unicode編碼是沒有分號的(計算器)
(10)十六進位編碼也是沒有分號(計算器)
(11)嵌入式標籤,將Javascript分開
TAG:網路安全焦點 |