dudo博客

最近发现搜狐博客存在一个XSS漏洞,可以允许用户添加任意的HTML和JavaScript代码并执行,这样访问都就很容易被定位到任意网站,甚至在用户的电脑上植入木马等。

这个漏洞主要来源于搜狐博客在设置标题和说明时,虽然在前台设置了32个字符的限制,但是在后台并没有进行验证,所以很容易使用Firebug一类的工具随便输入任意长的字符串。更加严重的是用户可以HTML文件中的的标签的value属性值中使用多次编译ASCII的方法实现跳转。

由于搜狐还没有修补这个漏洞,所以不太方便透漏具体使用方法,本人也没有在搜狐博客上做任何的攻击性的尝示。还好,有人已经身先士卒地尝试了。大家可以看现在这个例子:

如果你足够大胆可以尝试访问这个链接:http://qqoe.blog.sohu.com/
注意:上面的链接会把你带到一个含有木马的网站,如果你实在很好奇的话你可以在打开网站的短时间内按ESC键或者浏览器上的“停止”。



随便说两句
名字:
Email:
网站:
内容:

无觅相关文章插件,快速提升流量