[web安全]黑客攻防技术宝典-浏览器实战篇--XSS Samy Worm

最新推荐文章于 2021-04-10 00:41:35 发布
最新推荐文章于 2021-04-10 00:41:35 发布
阅读量1.1k 收藏
点赞数
分类专栏: web安全 文章标签: web安全 xss samy worm 黑客攻防技术宝典
https://hzeyuan.cn/
本文链接:https://blog.csdn.net/qq_36659627/article/details/85256186
版权

今天想了解一下书中介绍的Samy蠕虫病毒。
这是一个在24小时内感染了100多万MySpace用户的病毒,传播速度很快。

总结了下主要绕过的手段:

1.通过div的background:url参数执行初始的Javascript。
2.把代码储存到表达式,通过style属性运行指令,绕过单引号和双引号转义。
4.通过换行符绕过单词javascript的过滤。
5.使用String.fromCharCode(),把整数转成ASCII的方法插入单双引号。
6.合理利用eval函数,绕过一些关键词。

这是参考的文章,里面有源代码。
https://www.cnblogs.com/milantgh/p/3655070.html

你就像只铁甲小宝
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
黑客攻防技术宝典Web实战篇(第2版)1
08-03
黑客攻防技术宝典Web实战篇(第2版)》是一本专注于Web应用程序安全的实战指南,由Dafydd Stuttard和Marcus Pinto撰写,由石华耀和傅志红翻译。该书深入浅出地探讨了Web应用程序的安全风险和攻防策略,适合网络...
利用Express模拟web安全之---xss的攻与防
01-26
XSS跨站脚本攻击】是Web应用中常见的安全漏洞之一,其全称为Cross Site Scripting。由于CSS(层叠样式表)的缩写相同,因此为了区分,将其缩写为XSS。攻击者利用XSS漏洞向网页中插入恶意的JavaScript代码,当用户...
XSS攻击——SamyWorm 源代码分析
z646683869的博客
04-10 1159
在2005 年,年仅19 岁的Samy Kamkar 发起了对MySpac巳.com 的XSS Worm 攻击。Samy Kamkar 的蠕虫在短短几小时内就感染了100 万用户一一它在每个用户的自我简介后边加了一句话"but most of all, Samy is my hero." (Samy 是我的偶像〉。这是Web 安全史上第一个重量级的XSS Worm ,具有里程碑意义。 以下为根据对Samy Worm分析的文章进行的格式整理,方便阅读: MySpace 过滤了很多危险的HTML 标签,只保留
黑客攻防技术宝典Web实战篇第2版—第1章Web应用程序安全与风险
渣渣
07-18 942
1.1 Web应用程序的发展历程 早期万维网仅由站点组成,显示的是静态文档的信息库。 如今大多数站点是应用程序,服务器与浏览器之间双向信息传递。 随之而来的也有安全威胁。 1.1.1 Web应用程序的常见功能 一些常见功能,不再列举。 1.1.2 Web应用程序的优点 Http是万维网核心协议,轻量级,无需连接。 每个Web用户在计算机或者其它设备上安装了浏览器浏览器内容丰富...
MySpace JavaScript蠕虫(Samy worm)作者的自述
负暄琐话
10-20 4032
精彩!文章详细介绍了Samy Worm怎么绕过MySpace的安全机制,成功传播这个“有意思”的蠕虫,让上百万人在20小时内感染蠕虫,把作者加到自己的My Heroes名单,最终当掉很多人的帐户。这里是故事。这里是技术细节。 这里是作者访谈。 嗯,该和部门里负责安全的人谈谈了。P.S. 脚本破小孩儿们就不用去试了。MySpace已经把作者提到的漏洞补上了。
翻译"MySpace"蠕虫原理
897371388
07-06 350
本文章翻译自:http://namb.la/popular/tech.html MySpace蠕虫(也称Samy或者JS.Spacehero蠕虫)的技术讲解点击此处了解更多关于MySpace蠕虫有趣的事儿 在文章的最下方列出了关于此蠕虫的全部代码。 请注意,此讲解是在MySpace解决了此问题后才发出的,下面所讲的所有的代码现在都不会再生效,否则就是蓄意破坏了。下面我们来看一下,它是如何产生...
HDU 2151 Worm
ACM,再见!
02-28 780
http://acm.hdu.edu.cn/showproblem.php?pid=2151 Problem Description 自从见识了平安夜苹果的涨价后,Lele就在他家门口水平种了一排苹果树,共有N棵。 突然Lele发现在左起第P棵树上(从1开始计数)有一条毛毛虫。为了看到毛毛虫变蝴蝶的过程,Lele在苹果树旁观察了很久。虽然没有看到蝴蝶,但Lele发现了
安全技术大师学习黑客攻防技术 ——《黑客攻防技术宝典web实战篇
图灵教育
07-21 3076
安全技术大师学习黑客攻防技术——《黑客攻防技术宝典web实战篇》随着网络技术的快速发展以及网络带宽的不断扩张,Web应用程序几乎无处不在,渗透到社会的经济、文化、娱乐等各个方面。但同时,承载着丰富功能与用途的Web应用程序也成为恶意用户与黑客等攻击者的主要攻击目标。因此,如何确保Web应用程序的安全已成为政府、企业,特别是银行等金融机构所面临
黑客攻防技术宝典_web实战篇--9章节详细: 测试逻辑缺陷
moxucui7221的博客
03-13 388
9.1 确定关键受攻击面 9.3 测试不完整的输入 9.4 测试信任边界 9.5 测试交易逻辑
Web安全攻防-渗透测试实战指南》读书笔记
蜡笔的博客
09-28 4272
前言:本人大概花了2-3周的空闲时间读完了第一遍这本书,也算是我第一本系统的从头看到尾的web安全方向的书(Ps.《白帽子讲web安全》到现在为止都没看完,很尴尬,目前正在针对性的看白帽讲安全里面的内容)。这本书的作者是徐焱、李文轩、王亚东等,目录大概如下: Jietu20180928-164038.jpg ...
读《黑客攻防技术宝典-WEB实战篇
Botasky_Chan的博客
09-11 1301
读《黑客攻防技术宝典-WEB实战篇》读黑客攻防技术宝典-WEB实战篇 第6章攻击验证机制 2验证机制设计缺陷 21密码保密性不强 22蛮力攻击登录 23详细的失败消息 24证书传输易受攻击第6章:攻击验证机制6.2:验证机制设计缺陷6.2.1:密码保密性不强 弱密码,web应用并未对用户自定义的密码进行约束 6.2.2:蛮力攻击登录 暴力破解,应用程序允
全面分析Web应用程序安全漏洞——《黑客攻防技术宝典web实战篇
图灵教育
07-21 1338
媒体评论“想成为Web安全高手吗?读这本书吧,你一定不会失望!”                                  ——Amazon.com“没有空洞的理论和概念,也没有深奥的行话,除了实战经验,还是实战经验……”                                    ——blackhat.com 
黑客攻防技术宝典Web实战篇》习题答案(一)
ncafei的博客
01-11 6893
http://blog.sina.com.cn/s/blog_545eb7860101379s.html 译者按:以下为《黑客攻防技术宝典Web实战篇》一书第二版中的习题答案,特在此推出。如果读者发现任何问题,请与本人联系。英文答案请见:http://mdsec.net/wahh/answers1e.html。 如有转载,请注明出处。谢谢!   第2章:核心防
黑客攻防技术宝典浏览器实战篇
banyingcheng7736的博客
07-04 434
黑客攻防技术宝典浏览器实战篇   下载:   链接:https://pan.baidu.com/s/1ypyRzCj-5UCCKQxsDPUBCQ   提取码:x858   本书由世界顶尖级黑客打造,细致讲解了IE、Firefox、Chrome等主流浏览器及其扩展和应用上的安全问题和漏洞,介绍了大量的攻击和防御技术,具体内容包括:初始控制,持续控制,绕过同源策略,攻击用户、浏览器、扩...
CTF/CTF练习平台-本地包含【eval函数闭合及代码段的理解】
热门推荐
Sp4rkW的博客
08-21 4万+
原题内容: 地址:http://120.24.86.145:8003/ 怎么说呢,难其实也不难,还是基本知识点掌握不足吧,写个wp记录下自己学习到的知识点 <?php include "flag.php"; $a = @$_REQUEST['hello']; eval( "var_dump($a);"); show_source(_...
关于Myspace 蠕虫攻击的代码分析
u012684933的专栏
04-02 1667
myspace蠕虫攻击是xss攻击的一个非常典型的案例,网上也有关于这个蠕虫攻击的原理分析, 英文地址如下:http://namb.la/popular/tech.html 中文翻译地址如下:http://blog.csdn.net/ssergsw/article/details/9259743 看完文章的翻译后,非常感叹作者对漏洞巧妙的利用。 我对web前端开发是菜鸟,所以抱着学习jav
WEB安全基础-合集篇
最新发布
10-23
WEB安全基础-合集篇,涵盖了基础SQL注入、文件上传、XSS、CSRF、文件包含、逻辑漏洞等内容。这篇文章适合新手学习参考,通过学习这些知识可以快速了解渗透测试的基础知识。 在这篇合集中,作者首先介绍了WEB安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值