前几天人人里的跨站攻击脚本

本文分析了一次针对人人网的跨站脚本(XSS)攻击事件,详细介绍了攻击者如何巧妙利用站内信功能实施攻击,并探讨了该事件的责任归属和技术细节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

墙外地址:http://lzsblog.appspot.com/%3Fp%3D279002

转载请注明

 

很显然这次事件的责任要归咎于人人。丫的<>你都不过滤,干什么吃的。

 

跨站脚本已经上传到google code 处防止被和谐。地址

http://code.google.com/p/ronaldliu/source/browse/trunk/attack.js

根据对这个脚本的初步分析,可以看出这个脚本能收集的资料包括从http://www.renren.com/profile.do?v=info_ajax&undefined中可以获得的所有信息。相信没有谁会把敏感的信息放在那里。呵呵

这个脚本的亮点在于它精妙的利用了站内信的各种功能,真佩服这位作者能如此详细的了解站内信的各种功能对应的xml和ajax接口。包括发送,删除,获取好友列表等。学习啊。OTZ

这哥们没什么太出格的动作,要是跨站挂个马就有的受了。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值