登录
只可能图3中选中的JS文件里也许有名堂,但是代码太乱了,看得眼花。希望高人看看,也许有大名堂。从另一个角度仔细想想,很可能只过滤了“http:// ”这里,但是直接在URL=后面直接输入个www.baidu.com根本还是404-NOT FOUND,不妨换成FTP://xxx.com,结果进入页面的时候卡住了一会,呵呵,FTP没有过滤掉,如图4
图4
问题的确出在http://上,这回多打几个”:”,如图5
图5
依然跳回了主页,与“:”无关,然后多打了几个“/”,依然跳回主页,那直接把http去掉好了,出现下面的页面,^_^,一切都结束了!如图6
图6
希望腾讯再修补漏洞的时候不要再过滤了“//”就完毕了,因为“/\”也可以的,“\/”也是可以的。这个漏洞从原理上从发现上不算什么大漏洞。至于危害上篇稿子已经介绍了。
这个漏洞对于,某些人来说不会公布的,这个漏洞加上社会工程学基本想盗谁的QQ盗谁的,大牛也会有上当的吧。这样的漏洞写成QQ尾巴,又是一场QQ蠕虫式的网络攻击,对于一个搞病毒营销的人来说,又是不可多得的病毒欺骗式营销漏洞。这些都是不法行为。作为一个网民,更希望自己的电脑不被感染。QQ在中国,几乎能上网的机器都装有,当然溢出攻击,ARP欺骗,共享漏洞入侵等等,这些漏洞的发现到利用都不是那么容易。而QQ一旦爆发漏洞那将是个人电脑的危机。所以象腾讯这样的网站,做好安全不仅为自己避免损失,更是对广大网民的负责。对于漏洞修补建议,个人没什么建议,腾讯的专家们想必我的技术与其无法比。你们会有更好的方案。而不要草草了事就好。
有关XSS跨站攻击的基本概念及防范的方法,请读者参考以下文章:
浅析XSS(Cross Site Script)漏洞原理
http://publish.it168.com/2007/0704/20070704004201.shtml
| 第1页: 第1页 |
