以下是小编帮大家整理的邪恶猥琐的web2.0安全,本文共3篇,仅供参考,欢迎大家阅读。
篇1:邪恶猥琐的web2.0安全脚本安全
web2.0安全概念诞生以来,走向是越来越邪恶猥琐,从csrf到今天的 clickjacking.都可以证明这点.clickjacking其实就是CSS Overlays一个猥琐的应用,这样的技巧应该在优秀的web设计者利用的技巧,但是经过安全人员邪恶的思考就诞生了著名的clickjacking.
关于css带来的一些安全问题,国内外都有一定的观注了.详细可以看看David Lindsay ,Gareth Heyes,Eduardo Vela Nava[sdc]三人在bluehat8上的演讲:
www.thespanner.co.uk/wp-content/uploads//10/the_sexy_assassin2ppt.zip
pp里的exp:p42.us/css/ 另外sdc和garethheyes的blog上都有一些想关的介绍:
sirdarckcat.blogspot.com/2008/10/about-css-attacks.html
www.thespanner.co.uk/2008/10/20/bluehat/
想比下老外对css的研究,国内的由于*A的介入,导致css里xss研究更加深入,hotmail yahoo的xss都是围绕着css里的expression来的,这里有个主要的原因是expression对ie6/ie7都有很好的支持,而且在 css里对于ff2我们也可以通过-moz-binding来实现xss. 所以目前 style. 标签[css]里的xss仍然是寻找mail xss的主要途径.
如果大家分析过yahoo等暴光的那些poc就会发现 那些代码比较奇怪,我想可能是通过大量的测试和fuzz跑出来的. 于是我也学着简单的写了一个脚本[这个太简单了,所以没找到什么 :(].
//xss fuzzing
//by www.80vul.com
//some from Gareth Heyes 's codz :) thx
$string=“expression”;
$strinj=“/*google*/”;
//$strinj=str_replace('/',stringToHexString('/','dec'),$strinj);
$strinj=str_replace('/*','/'.stringToHexString('*','dec'),$strinj);
//$strinj=stringToHexString(“/*}}'*/”,'dec');
$arr=array;
for($i=0,$len=strlen($string);$i<$len;$i++)
{
$stringarr[$i]=substr($string, $i,1);
$destring=substr($string, 0, $i) . $strinj . substr($string, $i, strlen($string));
//print $destring.“
”;
array_push($arr,$destring);
}
array_push($arr,implode($strinj, $stringarr));
//print_r($arr);
//print implode($strinj, $stringarr);
foreach ($arr as $i =>$value) {
// print($arr[$i].“
”);
//$xss= 'Hello'.$i.'';
//$xss='';
$xss='hihihihihihi';
$file=fopen(“xsslog.txt”,“a+”);
fputs($file,“$xss\r\n”);
fclose($file);
}
function stringToHexString($str,$type){
$tmp='';
//$rand = rand(1,100);
for($i=0,$len=strlen($str);$i<$len;$i++)
{
$ord=Ord($str[$i]);
if($type=='dec'){$tmp.=“&”.base_convert($ord,10,16).“;”;}
if($type=='hex'){$tmp.=“&”.base_convert($ord,10,16).“;”;}
}
return $tmp;
}
?>
最后附上几个css有关的link:
nb.io/hacks/csshttprequest/
hi.baidu.com/ycosxhack/blog/item/62ad7c082e74f3930b7b8242.html
hi.baidu.com/hi_heige/blog/item/aff71d25097f2c35c9955940.html
篇2:猥琐的notclickjacking脚本安全
很猥琐的submitjacking,在群里看到的,应该不是owasp里提到的clickjacking,但也挺有意思,OWASP会议上的Clickjacking可以看看刺写的OWASP会议上的Clickjacking。
XML/HTML代码
onSubmit=window.open(“www.example.com”)> style=“position:absolute;left:0px;visibility:hidden;”/> onMouseUp=document.getElementById('my_submit_button_tres').click()>Fake link (onmouseup and click)
可参见www.planb-security.net/notclickjacking/
篇3:一次很“邪恶”的投票网站安全
author:Blackhumor
team:[B.H.S.T]
Blog:hi.baidu.com/admi520
文章没有技术含量,也不怎么成功,只是过程还是蛮曲折,想了N久决定还是发出来,希望对比我还菜的菜菜有帮助,
这几天经常收到辅导员的短信还有QQ消息叫我们去一个网址给我们学校参加xxxx歌手大赛的XX同学投票,让人心烦着呢,这不,在班级群里又发出来了,今天有空了就打开看看,
一看这同学貌似见过,地震期间同学们都困在学校里他还为我们表演了N多节目,歌唱得非常棒!于是呢就去顶了,投票呀留言什么的,可是人气还是不够,才XXX票,于是就想刷
一下票数,这不正好有同学也来给我说这事,我就说试试吧,就想着用用那可怜的十几台肉鸡来刷刷票。二话不说开工,用winsock expert抓包工具打开ie投票页面,然后点击投
票,查看抓包结果,很走运!没什么可利用的东东,这条路子就断了呵呵,继续找另外方法,点开选手风采栏目,随便点开一个选手,url变成xx.asp?xxx=xxxxx,在后面加个单引
号'返回不正常页面,
(图1)
于是再分别在url后面加上and 1=1f返回正常和and 1=11返回了脚本出错页面,
(图2)
还暴出了文件物理路径和表名还有字段名,mssql数据库, 请出啊D
来扫扫看,dboner权限,我得意的笑~~然后猜表,加了暴出的表名进去也是什么也没猜中,dbo备份一句话木马试了N多工具N次也没连接成功,于是漫长的旁注之旅开始了,,两天
以来只要一有时间就“工作”,服务器上面十几个站点,cookies注入进了几个其它站后台,都没拿到webshell,有几个后台有ewebeditor的,但默认密码改了,数据库目录也设了
权限没法下载数据库,唯一一个能进ewebeditor后台,设置样式,添加允许asa格式的图片,预览然后上传asa大马,查看代码后得到大马地址后访问,又是大失所望,目录被限制执
行脚本,再改上传目录,改成其它目录或者../../跳到跟目录这类,但上传不了,也不行,又遇到一个有mssqlDBO权限注入点的站点,跨库也不行,后台也没拿到webshell,又扫描
同C段IP,想拿到同C一台服务器来嗅探,先扫描iis 写权限的,找到一个,得到webshell,服务器是win2k iis5.0,不支持fso,不支持.net,php就更不用说了,这下webshell也没
有用了,同C段没有mssql弱口令,没有FTP弱口令,没有溢出漏洞,开80,8080,的也少,看样子都不想继续了,还是回到目标主站,既然是msssql数据库,只要知道表名,字段名,
相应的参赛选手ID就可以直接update更新数据库了,就目前只知道表名,singer_user,参赛选手ID:usernumber,继续在站点上面找其他地方看有没有注入点可以爆投票相关字段,可是其他地方也爆不出来,再手工猜一下,url+;update singer_user set piaoshu='1000' where usernumber=08xxxx,08xxxx就是参赛选手号码,看返回页面结果证明字段不存在,再用VB临时编写一个一点都不高级的小工具,
在文本框中填入常用字段继续进行猜测,
可惜都没有猜中,郁闷,于是想啊,数据库备份里面有乱码,应该还有数据库、表、字段相关信息,于是再次进行备份到网站目录,不过这次是生成txt文本,然后访问,由于文件太大容易ie卡死,就用迅雷下载到本地,再用记事本打开,
开始找,这下就辛苦了,找了差不多半小时,终于找到了相关字段,最终是tpph字段才是票数,于是马上url+;update singer_user set tpph='5043' where usernumber='08xxxxxx'刷新一下页面,果然票数5043,名次也上升了,
兴奋ing~~~,
不过想想对于其他选手来说就不公平了,心里又过不去,马上又给他改回来,联系到他后问他需要多少票让他们自己改。
总结:该程序未对浏览者提交的参数进行过滤,导致浏览者可以提交一些危险的sql查询语句对数据库进行修改。
文档为doc格式
