文章 2017-10-26 来自:开发者社区

WordPress4.8.1版本存在XSS跨站攻击漏洞

2017年10月19日,阿里云安全威胁情报系统监测到WordPress 官方发布了一条安全通告表示在4.8.1版本中发现了一个存储型的XSS漏洞,通过该漏洞,攻击者可以在受影响网站的评论区写下包含恶意代码的留言,当该留言页面被打开时,其中的恶意代码会执行,导致该网站的权限,插件等被更改,甚至被完全控制,安全风险为高危。阿里云安全建议站长们关注,并尽快开展自查工作,及时更新WordPress。具体....

文章 2017-09-25 来自:开发者社区

使用脚本隔离技术对抗XSS攻击

本文讲的是使用脚本隔离技术对抗XSS攻击, 概述 在圣诞节之后,我与@mikewest和@fgrx讨论了关于使用“隔离”的概念(将会在下面解释)作为对抗XSS漏洞攻击的安全缓解措施。这看起来似乎是一个很有趣的问题,因此,我花了一些时间研究了一下。 下面描述的设计方案将允许你(web开发人员)通过两个简单的步骤保护一些客户端免受XSS攻击: 设置新的cookie标志(isolatedScript.....

文章 2017-09-19 来自:开发者社区

AntiXSS - 支持Html同时防止XSS攻击

跨站脚本攻击(XSS)已经不是什么新鲜的话题了,甚至很多大公司也为此吃尽苦头。最简单直接的防范方法,就是不允许任何html标签输入,对用户输入进行编码(htmlencode)。 但是如果想用户输入支持一些格式,怎么办?一种办法就是很多论坛采用的BB Code的方法。使用特定的标签代替一些格式。比如:[B]表示粗体,等等。但是,BB Code这种形式并不被广泛接受,它的表现力实在太差了,而且并不是....

问答 2017-09-14 来自:开发者社区

XSS漏洞说明 由于参数未完全过滤导致了XSS跨站脚本攻击。

有那位大神指导一下,详细说下该如何操作,非常感谢。

文章 2017-09-14 来自:开发者社区

一种绕过 CSP 在 Twitter 子站中执行 XSS 的攻击

本文讲的是一种绕过 CSP 在 Twitter 子站中执行 XSS 的攻击,现在就开始讲述发现这一漏洞的过程,首先我对twitter进行了子域名收集,发现了https://careers.twitter.com这一网站,你可以在这一网站上向twitter投简历,找工作,不过我在这个网站寻找漏洞~ 在测试了一段时间之后,我想我在URL中的location参数中找到了一个反射型的xss漏洞: ht.....

文章 2017-09-04 来自:开发者社区

IE极度危险XSS漏洞 开启高度可信钓鱼攻击

本文讲的是IE极度危险XSS漏洞 开启高度可信钓鱼攻击,IE浏览器一个通用跨站脚本漏洞(XSS)近日被安全人员披露,该漏洞允许攻击者绕过浏览器安全机制同源策略(SOP),发起高可信网络钓鱼攻击或在任意网站上劫持用户帐户。杜森(Deusen)安全咨询公司的研究员大卫·利奥在漏洞披露文章中介绍了漏洞的详细信息。 文章中利用概念验证链接dailymail.co.uk,作为攻击目标进行演示。根据演示链接....

文章 2017-09-01 来自:开发者社区

雅虎又爆XSS跨站脚本攻击漏洞 问题出在邮箱处理Youtube视频链接

芬兰安全研究人员Jouko Pynnonen第二次拿到雅虎1万美元奖金,这次是发现了一个全新的雅虎邮箱存储型跨站脚本漏洞。不到一年前,Pynnonen私下披露了雅虎邮箱的一个存储型跨站脚本(Stored XSS)漏洞,获得雅虎HackerOne计划颁发的10000美元奖金。 雅虎在11月29日(Pynnonen报告漏洞17天之后)修复了该漏洞。这个漏洞给用户带来的风险与2015年漏洞一样。也就是....

文章 2017-08-13 来自:开发者社区

WEB攻击手段及防御第1篇-XSS

这种类型攻击者一般通过在网页中嵌入含有恶意攻击脚本的链接,或者通过发送带脚本的链接给受害者,这个脚本链接是攻击者自己的服务器,用户通过点击该链接就能达到攻击的目的。如http://www.test.com/p=,这样受害者的网页就嵌入了这段脚本,受害者通过点击链接触发攻击脚本。 新浪微博曾经就出现过一次较为严重的XSS攻击事件,攻击者通过发送一个带有链接的微博诱导用户点击,通过点击脚本链接大量用....

文章 2017-08-07 来自:开发者社区

【原创】腾讯微博的XSS攻击漏洞

相信大家都知道新浪微博在6月28日发生的XSS攻击事件了吧?在那晚里,大量新浪微博用户自动发送微博信息和自动关注一名叫“hellosamy“的用户。 究竟XSS攻击为什么能有这么大的威力?现在很多网站都采用了Cookie记录访问者的登录状态,在进行某些功能操作时(比如:发微博),服务器判断用户的Cookie记录的登录状态,如果用户是登录状态的则允许操作。正常情况下这样的操作看起来是安全的,因为服....

【原创】腾讯微博的XSS攻击漏洞
文章 2017-08-01 来自:开发者社区

黑客可通过XSS攻击物联网风力涡轮机

随着物联网理论在日常产品当中的不断延伸,由此带来的安全漏洞也自这项新兴技术诞生之日开始持续困扰着整个互联网环境。 在此前披露了某台气体探测器的内置固件中存在的两项高危安全隐患之后,最近由ICS-CERT公布的另一条消息又引起了我们的关注。根据消息所言,XZERES 442SR智能风力涡轮机所配备的Web管理面板内同样存在安全漏洞。 根据ICS-CERT方面的说明,这套管理面板可能受到XSS(即.....

本页面内关键词为智能算法引擎基于机器学习所生成,如有任何问题,可在页面下方点击"联系我们"与我们沟通。

阿里云安全

让上云更放心,让云上更安全。

+关注