新浪微博和新浪招聘都存在xss漏洞 xss漏洞的修复方法
新浪微博搜索存储型XSS漏洞:两洞结合利用
客户端绕过漏洞:新浪微博“发起投票”功能对标题(25字)、选项(20字)都进行了字数限制,但是只是客户端限制,通过代理可绕过。注入脚本如图1所示。
XSS漏洞:直接到投票页,注入的脚本会被HTML转义。但是通过微博的搜索功能,用脚本相关的关键词(如:iframe onload)进行 投票搜索 时,出现的搜索结果包含注入的脚本,并触发脚本执行!如图2所示。
简单利用:只需将搜索连接放到微博中,点击即中。
图1 注入脚本
图2 脚本执行
修复方案:
服务端验证输入限制,对所有搜索输出的内容审查一下吧
作者 WebSPRing
招聘部分
新浪招聘部分个人简历没有对用户输入进行过滤导致xss漏洞,若是管理员进行查看简历时可窃取cookie等信息。
http://career.sina.com.cn/user_center.php
在创建个人简历时没有对用户数据的信息进行判读和过滤,身份证等信息都可以输入
修复方案:
过滤吧!
作者 Adra1n
物联网是什么?物联网时代该怎么保护你的隐私?
什么是物联网,我百度了好多地方,觉得答案实在太官方了。我觉得物联网就是把身边的一切连在一起,包括你曾经认为和网搭不上边的东西,沙发、电视、电饭煲,这一切都被网络连在一起。以后恐怕连战争,都是黑客之
详情2018-01-11 19:49:18责编:llp 来源:驱动管家什么是后门程序?后门程序有哪些分类?
后门程序又称特洛伊木马,其用途在于潜伏在电脑中,从事搜集信息或便于黑客进入的动作。后程序和电脑病毒最大的差别,在于后门程序不一定有自我复制的动作,也就是后门程序不一定会“感染”其他电脑。后门是一种
详情2018-01-08 13:34:17责编:llp 来源:驱动管家科迅会员上传webshell漏洞?文件webshell漏洞怎么修复?
会员上传文件漏洞,可以上传任意后缀user swfupload asp文件漏洞复制代码代码如下:If UpFileObj Form( "NoReName ")= "1 " Then & 39;不更名Dim PhysicalPath,FsoObj:Set FsoObj = KS InitialObject(KS Settin
详情2018-01-11 14:54:27责编:llp 来源:驱动管家不让外来人员共享文件要怎么做?禁止外人共享文件的方法
为了日常工作方便,设置共享文件服务器通常是大多数企业的管理方式,共享文件服务器上的共享文件仅用于局域网内的用户使用。但工作中免不了有客户来访,也需要连接网络,这样公司内部共享的文件也会向这些外来人
详情2018-01-06 18:07:13责编:llp 来源:驱动管家傲游浏览器有哪些漏洞?傲游浏览器的漏洞一般在哪些地方?
这个漏洞首先是国外某个团队发现的,他研究了多个浏览器的漏洞。其中遨游的漏洞比较独特,大致存在几个方面的,1 about:history中存在xss漏洞,即浏览历史中url链接中存在明显的xss漏洞。2 遨游的拓展中存在大量
详情2018-01-08 17:11:48责编:llp 来源:驱动管家怎么使用野草weedcmsV5.2.1删除文件漏洞?
member php if($action==
详情2018-01-09 17:58:26责编:llp 来源:驱动管家无线网络安全怎么提高?提高无线网络安全的方法
如下具体解析提高无线网络安全的几个妙招:1 无线加密首先说一下无线加密,这种保护方式是目前最为常见的一种手段,用户可以通过无线路由器的WEB界,来对无线网络进行加密设置。目前,无线路由器或AP的加密类型一
详情2018-01-09 13:34:07责编:llp 来源:驱动管家华众虚拟主机管理系统的漏洞补丁
这次漏洞出在channeldmectr asp这个文件上,跟本就没有过滤任何参数 正好我这里有正版的补丁,打开看下了,打上补丁的channeldmectr asp文件在第21行到第40行,增加了以下代码:复制代码代码如下:Function SafeReques
详情2018-01-12 17:12:25责编:llp 来源:驱动管家黑客入侵网站的基本步骤 网络服务器的入侵方法
尽管为服务器设计软件的软件工程师们想方设法提高系统的安全性,然而由于系统管理员的水平参差不齐或安全意识底下,往往给黑客提供了入侵的机会。其实每一个黑客都有自己独到的方法。笔者对于入侵网站服务器的资
详情2018-01-07 16:30:26责编:llp 来源:驱动管家如何破解webshell的密码,成功获取webshell?
Burp Suite是一个Web应用程序集成攻击平台,它包含了一系列burp工具,这些工具之间有大量接口可以互相通信,这样设计的目的是为了促进和提高整个攻击的效率。推荐下载:软件名称:burpsuite pro v1 4 07+key注
详情2018-01-12 11:52:18责编:llp 来源:驱动管家
- 逻辑驱动器是什么?怎么将Win7系统的主分区修改为逻辑驱动器
- 在电脑上怎么置顶钉钉会话?钉钉电脑版会话置顶方法
- 微软小冰是什么?微软小冰激活后怎么用?
- 发现电脑声卡丢失应该怎么处理呢
- 电脑机箱为什么会有噪音?电脑机箱有噪音怎么解决
- excel表格合并单元格快捷键可以用这个方法
- 电脑主机为什么一直嗡嗡响?怎么处理主机声音大的情况
- 红米3和红米note3哪个好?该买红米3还是红米note3?
- 虚拟内存不足怎么清理?关机时如何清理虚拟内存?
- 虚拟主机的危机 hzhost虚拟主机有什么致命漏洞?
- 驱动程序怎么备份?使用驱动精灵备份驱动的教程
- PPT大图可以整体截图吗?如何整体截图?
- 微软小冰二代升级办法是什么?微软小冰在哪儿升级?
- lightning接口的定义是什么?关于lightning接口的介绍
- 电脑的cpu使用率过高可以试下这个办法解决
- 算法架构师算法分享大会公布 今日头条算法并非单一交给机器
- 硬盘坏道怎么修复?你一定没有用过这个方法
- Word 2007打开很慢怎么办?去掉这些不常用的加载项就可以了
- 魅族新机的谍照出现 这难道就是魅族mx5 pro?
- qq空间可以自动点赞吗?qq空间说说刷赞的方法