> 正文 2009-08-09 来源: 数动连线整理 转载请注明出处 电脑报()
2009年第30期F版 责任编辑:陈邓新 作者:程利军 本期主角:土豆日志 问题所在:日志内容过滤不严 主要危害:进行挂马攻击,泄露注册用户信息 调研时间:2009.7.24~2009.7.26 漏洞状况:已通知修复 编辑之声: 多年以前,小编因为一段搞笑视频,才知道土豆。这几年,随着视频网站的壮大,土豆访问量的增加,在Alexa的排名已上升到70位,对之感兴趣的黑客已不在少数。 电脑报的安全研究团队正在不断壮大,最近又有一名高手——程利军,接受小编的邀请加入。他为我们做的{dy}个贡献就是发现了土豆的挂马漏洞,漏洞是他在看快女时无意中发现的。该漏洞与一般的挂马漏洞不同,它可以将挂马地址存储到网站内部,网站用户不点击链接就可能访问到挂马页面。 最近快女比赛揪动人心,我在土豆上看的不亦乐乎。看完之后,心情澎湃想发泄一下,于是就在我的土豆日志上准备写诗,写着写着就发现了一个漏洞。太夸张?为什么就我会看到漏洞?其实,我是一名安全研究人员,出于职业习惯,看东西老是跟别人不一样。 在土豆日志中的漏洞,可以被用来挂马,传播各种xx病毒,一旦xx病毒进入用户的电脑,个人信息就有可能被盗。此外,该漏洞还可以用来登录其他用户的账号,为社会工程学收集资料。
日志内容标签过滤不严
我们可以把该漏洞想象成一个正规的包装盒,网页木马就好比是假药,现在把假药放入包装盒中,普通的消费者无法辨认真伪,就连药品生产厂商也分辨不出,它会把装有假药的包装盒放到仓库中,卖给消费者。 看了上面的介绍,有人可能会问:就弹一个小框框,能对我造成什么危害呀!如果你这样想,就大错特错了,如果弹出的不是警告框,而是网页木马的话……
第三步:在日志管理页面左上角点击“发表新日志”,进入发表新日志页面(图4),在页面中勾选“HTML”,进入HTML编辑区(图5)。在HTML编辑区中,输入<body onmouseover=”window.open(‘’,’_self’);”>loading,然后点击“发表日志”即可。
{zh1},等别人访问自己的日志或者主动将链接发到人多的论坛、播客、QQ群等地方。此外,还可以把挂马页面换成博客页面或者个人网站,获取大量的流量。
在HTML的编辑区中,输入<body >loading,然后点击发表日志(图7)。
将日志发布,当注册用户点击日志后,就会自动跳转到页面,在cookie.txt中则记录了该注册用户的Cookie信息(图8),接下来通过Cookie欺骗就可以登录该注册用户的账号,导致用户的个人信息的泄露。
漏洞解决方案
|