Q-Zone跨站入侵漏洞的详细分析与利用
[ 2006-04-08 15:38:29 | 作者: admin ]
技术点:CSS跨站漏洞 用户输入过滤方式 修改IE提交数据 跨站盗取COOKIE
前不久,腾讯新推出的网络空间“Q-ZONE”暴出了存在跨站漏洞,很难想象,一项新推出的业务居然如果脆弱,不由不让人佩服腾讯的开发能力,下面便我们来了解一下“Q-ZONE”的这一跨站漏洞吧。
Q-Zone跨站漏洞的分析
1、Q-Zone对用户输入的过滤
进入Q-Zone后,依次点击“设置→空间设置→QQ空间名称”,在这里将可以修改空间的显示名称。如果我们写入一段可执行的脚本代码,只要过滤不严格的话,同样会被保存在首页中,通过调用执行代码,达到攻击浏览者的目的。下面我们先测试一下这个输入框中能否写入跨站脚本:
在“输入空间名称”输入框中输入上面的代码“<script>alert("测试")</script>”时,发现在输入框中限制了输入字符的长度,总共只能输入24个字符。而且当我们输入许可长度的代码,点...
阅读全文…
前不久,腾讯新推出的网络空间“Q-ZONE”暴出了存在跨站漏洞,很难想象,一项新推出的业务居然如果脆弱,不由不让人佩服腾讯的开发能力,下面便我们来了解一下“Q-ZONE”的这一跨站漏洞吧。
Q-Zone跨站漏洞的分析
1、Q-Zone对用户输入的过滤
进入Q-Zone后,依次点击“设置→空间设置→QQ空间名称”,在这里将可以修改空间的显示名称。如果我们写入一段可执行的脚本代码,只要过滤不严格的话,同样会被保存在首页中,通过调用执行代码,达到攻击浏览者的目的。下面我们先测试一下这个输入框中能否写入跨站脚本:
在“输入空间名称”输入框中输入上面的代码“<script>alert("测试")</script>”时,发现在输入框中限制了输入字符的长度,总共只能输入24个字符。而且当我们输入许可长度的代码,点...
阅读全文…
Win2003 下不支持flv,mp4,f4v文件的在线播放提示404问题,iis缺少mime
[ 2006-04-08 15:34:43 | 作者: admin ]
FLV格式文件上传服务器后不能播放因为国内大多都是Win2003的主机.默认是没有指定输出FLV这种格式的虽然FTP里面可以看见,但无法通过http访问,也就无法播放了.
[原因:WIN2003加强了IIS6的MIME验证,一切未注册扩展文件格式统统显示404错误。手动在IIS中HTTP头->MIME添加MIME影射关系,MIME类型: video/x-flv 扩展名:.flv,即可通过Flash7+客户端Load进来播放]
[办法解决“虚拟主机都不支持Flv格式文件”的问题:比如你的Flv文件名称是a.flv,在虚拟主机上建一个名为“a.flv”的目录,在此目录下放你的Flv格式文件,将其改名为:index.htm,这样就行了,播放器中的文件名保持原样不动 ]
mime常见格式
阅读全文…
[原因:WIN2003加强了IIS6的MIME验证,一切未注册扩展文件格式统统显示404错误。手动在IIS中HTTP头->MIME添加MIME影射关系,MIME类型: video/x-flv 扩展名:.flv,即可通过Flash7+客户端Load进来播放]
[办法解决“虚拟主机都不支持Flv格式文件”的问题:比如你的Flv文件名称是a.flv,在虚拟主机上建一个名为“a.flv”的目录,在此目录下放你的Flv格式文件,将其改名为:index.htm,这样就行了,播放器中的文件名保持原样不动 ]
mime常见格式
.flv 的MIME类型 application/octet-stream
...阅读全文…
1
