前几天人人里的跨站攻击脚本

最新推荐文章于 2025-08-12 20:39:53 发布
原创 最新推荐文章于 2025-08-12 20:39:53 发布 · 574 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#脚本 #ajax #google #xml #fp

本文分析了一次针对人人网的跨站脚本(XSS)攻击事件,详细介绍了攻击者如何巧妙利用站内信功能实施攻击,并探讨了该事件的责任归属和技术细节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

墙外地址:http://lzsblog.appspot.com/%3Fp%3D279002

转载请注明

 

很显然这次事件的责任要归咎于人人。丫的<>你都不过滤,干什么吃的。

 

跨站脚本已经上传到google code 处防止被和谐。地址

http://code.google.com/p/ronaldliu/source/browse/trunk/attack.js

根据对这个脚本的初步分析,可以看出这个脚本能收集的资料包括从http://www.renren.com/profile.do?v=info_ajax&undefined中可以获得的所有信息。相信没有谁会把敏感的信息放在那里。呵呵

这个脚本的亮点在于它精妙的利用了站内信的各种功能,真佩服这位作者能如此详细的了解站内信的各种功能对应的xml和ajax接口。包括发送,删除,获取好友列表等。学习啊。OTZ

这哥们没什么太出格的动作,要是跨站挂个马就有的受了。

lzsdc
关注
人人快速开发平台 renren-fast 与 renren-fast-vue 与 renren-generator 基本操作
qqhuzi36的博客
06-05 1万+
1.介绍 1.1.项目描述 renren-fast是一个轻量级的 Spring Boot 快速开发平台,能快速开发项目并交付【接私活利器】 完善的 XSS 防范及脚本过滤,彻底杜绝 XSS 攻击,实现后端分离,通过 token 进行数据交互 推荐使用阿云服务器部署项目,免费领取阿云优惠券,请点击免费领取 1.2.获取帮助 后台地址:https://gitee.com/ren...
日常安全运营工作的一些思考
si1ence的博客
10-31 2436
安全运营是一个闭环、螺旋提升的过程;区别于运维保障围绕网络设备正常运行的工作不同,安全运营更为主要是在保障业务正常运行的基础上,提升组织整体安全能力;网络世界,威胁不断演变,需要可持续的安全运营不断提升对抗能力。借周末二天时间总结一些关于安全运营一些经验与思路,个人觉得安全运营是一个技术复合型要求比较高的工作岗位,对个人素质/技术门槛要求都比较高,在一次一次攻击对抗、溯源的过程中也能获取到新的想法收获、那种充实的成就感也是安全运营带给人为数不多的喜悦;安全能力也需要一步步持续提升,攻防一体、知行合一;
人人网的分享网页功能存在诸多安全漏洞
swordheart的博客
04-11 453
漏洞详情 简要描述: 人人网的分享网页功能存在诸多漏洞. 这些漏洞可导致跨站攻击,任意文件读取,代理攻击和信息泄露等各种安全隐患. 详细说明: 人人网SNS社区的分享站外连接功能存在严重安全隐患, 其后台调用的Ajax接口为 http://share.renren.com/parse_share.do 向其接口提交参数link=*用于适用人人网服务器读取网络共享信息和视频图片信息等.但是由于底层适用类curl库,而没有正确过滤URL导致可以读取内网诸多信息. 如提交 http://share.ren
关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造)
07-02 1542
我们常说的网络安全其实应该包括以下三方面的安全: 1、机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马。 2、完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS跨站脚本攻击和csrf跨站请求伪造。 3、可用性,比如我们的网络服务是否可用,常用的攻击方式是dos和ddos,拒绝服务和分布式拒绝服务攻击
XSS跨站脚本攻击实例讲解,新浪微博XSS漏洞过程分析
weixin_30421525的博客
07-11 531
2011年6月28日晚,新浪微博遭遇到XSS蠕虫攻击侵袭,在不到一个小时的时间,超过3万微博用户受到该XSS蠕虫的攻击。此事件给严重依赖社交网络的网友们敲响了警钟。在此之,国内多家著名的SNS网站和大型博客网站都曾遭遇过类似的攻击事件,只不过没有形成如此大规模传播。虽然此次XSS蠕虫攻击事 件中,恶意黑客攻击者并没有在恶意脚本中植入挂马代码或其他窃取用户账号密码信息的脚本,但是这至少说...
xss(跨站脚本攻击),crsf(跨站请求伪造),xssf
weixin_30621711的博客
10-29 249
我们常说的网络安全其实应该包括以下三方面的安全: 1、机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马。 2、完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS跨站脚本攻击和csrf跨站请求伪造。 3、可用性,比如我们的网络服务是否可用,常用的攻击方式是dos和ddos,拒绝服务和分布式拒绝服务攻击。 本文主要...
【转载】关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造)
weixin_34088583的博客
06-07 149
我们常说的网络安全其实应该包括以下三方面的安全: 1、机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马。 2、完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS跨站脚本攻击和csrf跨站请求伪造。 3、可用性,比如我们的网络服务是否可用,常用的攻击方式是dos和ddos,拒绝服务和分布式拒绝服务攻击。 本文主要...
【转】关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造)
weixin_30432179的博客
12-25 170
转自:http://snoopyxdy.blog.163.com/blog/static/60117440201284103022779/ 我们常说的网络安全其实应该包括以下三方面的安全: 1、机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马。 2、完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS跨站脚本攻击和csrf跨...
网络攻击——流量劫持
laoniu_c的专栏
09-15 2581
流量劫持,这种古老的攻击沉寂了一段时间后,最近又开始闹的沸沸扬扬。众多知名品牌的路由器相继爆出存在安全漏洞,引来国内媒体纷纷报道。只要用户没改默认密码,打开一个网页甚至帖子,路由器配置就会被暗中修改。互联网一夜间变得岌岌可危。 攻击还是那几种攻击,报道仍是那千篇一律的砖家提醒,以至于大家都麻木了。早已见惯运营商的各种劫持,频繁的广告弹窗,大家也无可奈何。这么多年也没出现过什么损失,也就睁只眼闭只
自动化攻击背景下的过去、现在与未来
深度安全实验室
12-04 657
自动化攻击背景下的过去、现在与未来
我的基础知识总览
热门推荐
少说,多做。
12-08 25万+
本文十天后设置为粉丝可见,喜欢的提关注 不要白嫖请点赞 不要白嫖请点赞 不要白嫖请点赞 文中提到的书我都有电子版,可以评论邮箱发给你。 文中提到的书我都有电子版,可以评论邮箱发给你。 文中提到的书我都有电子版,可以评论邮箱发给你。 本篇文章应该算是Java后端开发技术栈的,但是大部分是基础知识,所以我觉得对任何方向都是有用的。 1、数据结构 数据结构是计算机存储、...
58天象反入侵体系建设实践
disdouble的博客
08-24 1655
总体结构下图是天象反入侵体系的整体架构图图:天象反入侵架构体系1.最上面是外网环境,每条访问到58平台的流量通过核心交换机转发到集团内网的Nginx集群上。2.下面是内网环境,流量通过Nginx网关会均衡转发到各个业务服务器的集群上,业务处理完成之后再把响应通过ngixn返回给用户。3.内网环境的右面就是整个天象反入侵体系,从组成结构上分为三部分,黄色主题是数据采集部分,通过自研的数据传感器采集58机房内的各种网络设备或终端的日志数据;蓝色主题是数据检测部分,负责对收集的数据进行规则检测。
【AI | 网络安全】人工智能时代下,学习网安的成本有多低?
等风来
07-11 8090
近日,一份来自安全公司Threat Intelligence的报告指出,黑客们正在利用人们对AI聊天机器人的兴趣,侵入人们的设备。 这些黑客主要瞄准了Facebook的Messenger和WhatsApp等流行的聊天应用程序。其犯罪手段是通过聊天机器人,诱骗用户点击恶意链接或下载恶意软件,以此达到窃取隐私信息、访问敏感数据的目的。
WOW外挂编写教程---进阶版
netack的专栏
05-01 1万+
WOW外挂编写教程---进阶版一贴入门篇主要写的是感性知识,哪怕没接触过程序设计的人,只要用金山游侠,CE(cheat engine)之类的软件就可以将贴内提到的内容实践一下。但是仅仅了解这些远远不够。正如有人回贴说用按键精灵就可以轻松的实现仿键盘输入功能。而接下来遇到的最大问题就是该输入什么,在什么时候输入,如何知道游戏内人物的状态以及周围的情况。上贴教了一个查找游戏内容的方法,通过不停的改变
3- Python 网络爬虫 — 如何抓取动态加载数据?Ajax 原理与实战全解析
wh1236666的博客
08-08 1477
Ajax(Asynchronous JavaScript and XML,异步 JavaScript 和 XML)是一种在无需重新加载整个网页的情况下,能够局部更新网页内容的技术。它允许网页通过后台与服务器进行数据交换,在不干扰用户操作的情况下动态更新页面。
@(AJAX
m0_74107848的博客
08-12 374
(Asynchronous JavaScript and XML)是一种。发送异步请求(XMLHttpRequest)返回数据(JSON/XML)触发事件(如点击按钮)
使用 Grunt 替换 XML 文件中的属性值
lanwp5302的博客
08-08 409
grunt.registerTask('updateXml', '更新XML属性', function() {// 修改属性 - 示例:修改所有version元素的number属性// 写回文件grunt.log.ok('XML文件更新成功');done();});});});});
XML Schemas 简介
lly202406的博客
08-12 362
XML Schemas 作为一种定义XML文档结构的机制,在互联网数据交换、数据存储、数据集成等领域发挥着重要作用。掌握XML Schemas 的基本概念、特点和应用,有助于我们更好地利用XML技术,提高数据质量和互操作性。
熟悉并使用Spring框架 - XML
最新发布
动动发财的小手点点赞
08-12 728
Spring框架作为Java开发中最流行的框架之一,为我们提供了多种配置方式。虽然现在注解和Java配置越来越流行,但XML配置作为Spring的经典配置方式,对于初学者和对底层源码感兴趣的同学,学习XML配置仍然是非常重要的一环。Spring的XML配置是通过XML文件来定义Bean以及它们之间关系的一种方式。这种配置方式直观明了,所有的配置信息都集中在XML文件中,便于管理和维护。System.out.println("UserService被创建了");
理解与实战:XSS跨站脚本攻击基础教程
XSS脚本攻击是一种常见的网络安全威胁,主要针对Web应用程序。XSS(Cross-Site Scripting)攻击允许攻击者在目标网站上注入恶意脚本,这些脚本能够在用户的浏览器上执行,从而窃取敏感信息,如Cookie数据,或者进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值