新浪XSS漏洞

于 2022-04-14 15:38:01 发布
阅读量120 收藏
点赞数
文章标签: web安全 安全 hack 网络安全 wooyun
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/124173529
版权

漏洞详情

披露状态:

2010-07-23: 细节已通知厂商并且等待厂商处理中
1970-01-01: 厂商已经确认,细节仅向厂商公开
1970-01-11: 细节向核心白帽子及相关领域专家公开
1970-01-21: 细节向普通白帽子公开
1970-01-31: 细节向实习白帽子公开
2010-08-23: 细节向公众公开

简要描述:

新浪的一个XSS

详细说明:

攻击者利用应用程序的动态展示数据功能,在html页面里嵌入恶意代码。当用户浏览该页之时,这些嵌入在html中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的

漏洞证明:

http://login.sina.com.cn/hd/signin.php?act=1&reference='"><script>alert("xss");</script><"&entry=sso®_entry=space

修复方案:

html escape转义变量输出

Sword-heart
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
新浪为例浅谈XSS
Coisini的博客
06-21 232
随着网络时代的飞速发展,网络安全问题越来越受大家的关注,而SQL注入的攻击也随着各种防注入的出现开始慢慢的离我们而去,从而XSS跨站脚本攻击也慢慢的开始在最近几年崛起,也应对了’没有绝对的安全’这句话。 XSS攻击: 它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。 大家刚接触XSS的时候和我大概也差不多,都是在不断的在各种搜索栏,地址栏中或...
Ajax XSS样例
09-18
攻击者通常会寻找网站中的输入字段,如搜索框、评论区、表单等,尝试输入特殊的脚本代码,如果网站没有对这些用户输入进行有效的过滤或转义,就可能导致XSS漏洞的产生。 对于存储型XSS,恶意脚本会被持久化地存储在...
新浪微博XSS攻击事件
TERRY的技术日志
06-29 3486
6月28日20时14分左右开始,新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建 党大业中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉团团高清普通话版种子”,“这是传说中的神仙眷侣啊”,“惊爆!范冰冰艳照真流出了”等等 微博消息和私信,并自动关注一位名为hellosamy的用户。  事件的经过线索如下:20:14,开始有大量带
[转]以新浪为例浅谈XSS
weixin_30279671的博客
01-12 70
随着网络时代的飞速发展,网络安全问题越来越受大家的关注,而SQL注入的攻击也随着各种防注入的出现开始慢慢的离我们而去,从而XSS跨站脚本攻击也慢慢的开始在最近几年崛起,也应对了’没有绝对的安全’这句话。 XSS攻击:它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。 大家刚接触XSS的时候和我大概也差不多,都是在不断的在各种搜索栏,地址栏中或...
发现新浪一注册漏洞
编程视觉
06-06 598
目前偶尔靠运气能出有验证码的wangy
新浪微博XSS攻击代码简要解析
首席技术执行官CTO(Chief Technology Officer)|技术总监--邓斌博客
11-14 2810
代码下载(来源鸽姆安全网) [javascript] view plaincopyprint?/**  *使用AJAX创建XMLHttpRequest对象,若不是IE浏览器,使用XMLHttpRequest创建XHR对象,  *否则使用ActiveXObject创建XHR对象。  */  function createXHR(){      return window.XMLHttpRequest
浅谈跨网站脚本攻击(XSS)的手段与防范(简析新浪微博XSS攻击事件)
03-04
新浪微博攻击事件跨网站脚本(Cross-sitescripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受...
xss.me跨站平台源码 Sae版本
02-22
"XSS.me跨站平台源码 Sae版本"是一个用于测试和研究XSS漏洞的平台,它基于云服务Sina App Engine (Sae)运行。Sae是新浪推出的一个PaaS(Platform as a Service)平台,允许开发者在无需管理服务器基础设施的情况下...
XSS 蠕虫在社交网络中的传播分析 (2011年)
05-26
仿真结果表明,节点访问偏向度对XSS 蠕虫传播影响较小,而XSS 蠕虫采用社会工程学的熟练度及节点安全意识,对XSS 蠕虫传播影响较大。活跃节点的安全意识较大程度影响了XSS 蠕虫传播效率,将活跃节点作为防御点和监控...
高级PHP应用程序漏洞审核技术
04-03
在这个例子中,恶意的变量键可能会导致XSS(跨站脚本)攻击。 5. **深入理解代码流程** - **变量转换和数据流**:理解变量如何在代码中流转,以及它们如何影响函数行为,是识别潜在漏洞的关键。这可能需要对PHP源...
新浪网存在远程执行漏洞
swordheart的博客
04-11 226
漏洞详情 披露状态: 2010-07-16: 细节已通知厂商并且等待厂商处理中 2010-08-18: 细节向公众公开 简要描述: 新浪网可以远程执行代码,可能造成网站被入侵。 详细说明: 使用struts2的任意产品线,在默认配置情况下会导致任意java代码能够以webserver的权限执行。 如下url存在代码执行漏洞 http://caipiao.sc.sina.com.cn/cbportal/userinfo/showRegister.action http://caipiao.fj.s
搜狐通行证某处反射xss
swordheart的博客
04-12 125
漏洞详情 披露状态: 2010-07-16: 细节已通知厂商并且等待厂商处理中 1970-01-01: 厂商已经确认,细节仅向厂商公开 1970-01-11: 细节向核心白帽子及相关领域专家公开 1970-01-21: 细节向普通白帽子公开 1970-01-31: 细节向实习白帽子公开 2010-08-18: 细节向公众公开 简要描述: 搜狐通行证某处反射xss 详细说明: 登录后状态下 http://passport.sohu.com/web/updateInfo.action?modifyT
XSS跨站脚本攻击实例讲解,新浪微博XSS漏洞过程分析
weixin_34186128的博客
07-11 558
2011年6月28日晚,新浪微博遭遇到XSS蠕虫攻击侵袭,在不到一个小时的时间,超过3万微博用户受到该XSS蠕虫的攻击。此事件给严重依赖社交网络的网友们敲响了警钟。在此之前,国内多家著名的SNS网站和大型博客网站都曾遭遇过类似的攻击事件,只不过没有形成如此大规模传播。虽然此次XSS蠕虫攻击事 件中,恶意黑客攻击者并没有在恶意脚本中植入挂马代码或其他窃取用户账号密码信息的脚本,但是这至少说明,病毒木...
新浪微博的XSS漏洞攻击过程详解
weixin_34294649的博客
07-11 1400
今天晚上(2011年6月28日),新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建 党大业中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉团团高清普通话版种子”,“这是传说中的神仙眷侣啊”,“惊爆!范冰冰艳照真流出了”等等 微博和私信,并自动关注一位名为hellosamy的用户。 事件的经过线索如下: 20:14,开始有大量带V...
新浪微博的XSS攻击
joy
03-26 715
新浪微博的XSS攻击 http://coolshell.cn/articles/4914.html 阅读评论28,159 人阅读     今天晚上(2011年6月28日),新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建党大业中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉团团高清普通话版种子”,“这是传说
xss攻击之新浪微博xss蠕虫
zhangzhangdan的博客
07-21 2588
xss蠕虫:通过一个bug,感染其他结构都出现问题 我们根据一段xss攻击链接来看一下: 很显然,javascript代码被解析了,那它原型是什么呢,怎么看  通过这样我们可以看出,这段javascript代码是指向一个js文件,js文件中写的是一些文章标题链接,而这段链接也是携带这段javascript代码,这样当有人点击了这段链接,就又执行这个xss攻击操作了,这样一传十,十传百...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值