利用HTTP协议和IE的漏洞在其他计算机上运行一个程序

已于 2024-10-10 17:32:44 修改
阅读量6.2k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 技术随笔 文章标签: windows 浏览器
于 2004-11-05 12:28:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/orbit/article/details/168475
文章揭示了如何利用HTTP协议和Internet Explorer的漏洞,通过嵌入恶意脚本在用户电脑上执行程序。脚本病毒通常伪装成媒体文件,欺骗HTTP协议传输并利用IE的缓存目录执行,同时介绍了防止此类攻击的方法,如禁用脚本调试器和保护关键命令程序。

  作者:星轨(oRbIt)
  E_Mail :inte2000@163.com   

Google

输入您的搜索字词 提交搜索表单

        我们每天都使用网络浏览五彩缤纷、动感十足的网页,查询需要的信息,你是否想过这些都是嵌入的脚本代码的功劳呢?如果没有这些脚本代码,网页就只是静态的图片和文字的组合,看起来索然无味,网络的魅力顿失。但是,和任何其他事情一样,嵌入网页的脚本代码也有两面性:一方面,网络工程师可以通过脚本编程为网页带来很多匪夷所思的效果,制作出既漂亮又功能强大的网页;另一方面,别有用心的人也能利用这些代码给你的系统带来危害。一些网站故意将这些恶意代码嵌入网页,搜集访问者的信息,将其网址设为IE的默认打开页面,甚至锁定访问者的注册表,在访问者的计算机上植入木马程序等等。这些恶意脚本代码往往隐蔽执行,在访问者毫无觉察的情况下完成操作,所以具有很大的危害性。
    具有破坏性的恶意脚本代码通常也被称为脚本病毒,脚本病毒不是可执行程序,它只是一段程序的代码序列,通常是VB Script,因为VB Script功能强大并且有Windows操作系统的脚本

最低0.47元/天 解锁文章

200万优质内容无限畅学
【专升本计算机】甘肃省专升本考试公共课计算机填空题考点汇总
「 刘一哥与GIS的故事」
09-04 3326
甘肃专升本考试公共课计算机填空题考点汇总 Excel 工作簿文件的默认扩展名为 xls 。 Excel 主界面窗口中编辑栏上的 “fx” 按钮用来向单元格插入函数。 用来给电子工作表中的行号进行编号的是数字。 在 Excel 中,输入数字作为文本使用时,需要输入作为先导标记的字符是单引号。 电子工作表中每个单元格的默认格式为常规。 假定一个单元格的地址为 D25 ,则此地址的类型是相对地址。 在 Excel 中,假定一个单元格所存入的公式为 “=13*2+7” ,则当该单元格处于编辑状态时显示
利用http漏洞获取权限
快递小哥的博客
12-31 787
环境:一台win3虚拟机 一台物理机 1. 保证物理机虚拟机在同一网段且能相互ping通 2.在虚拟机上安装iis服务器 3.开放权限 4.在物理机桌面建立一个txt文件,里面内置木马 如:1.txt <%eval (eval(chr(114)+chr(101)+chr(113)+chr(117)+chr(101)+chr(115)...
HTTP请求走私漏洞原理与利用手段分析
道阻且长,行则将至
07-14 3044
本文介绍了 HTTP 请求走私漏洞的基本原理、漏洞类型、检测方法等,同时借助靶场实践分析了 HTTP/1 与 HTTP/2 协议下的 HTTP 走私漏洞利用手段具体危害,最后总结了防御此类漏洞的措施。
漏洞的发现利用HTTP协议
最新发布
m0_73943958的博客
12-17 230
进入操作路径之后执行命令即可进入操作界面报告保存的路径需要是一个新的文件夹,否则会提示文件已存在另外可以选择html文件类型,名字不可以重名第一个框不需要打勾可以选择扫描模型,选择越多 时间越长就可以在原先填写的路径下找寻生成的文件查找报告。
微软IE本地文件探测漏洞
swordheart的博客
04-20 4105
漏洞详情 披露状态: 2010-08-02: 积极联系厂商并且等待厂商认领中,细节不对外公开 2010-08-02: 厂商已经主动忽略漏洞,细节向公众公开 简要描述: 微软ie在处理对本地文件请求时存在一些问题,可以用来探测本地文件是否存在,忽忽 详细说明: 非res协议哦! 漏洞证明: <script> window.onerror=function(){ alert('文件存在'); return true; } </script> <script src
微软IE本地文件读取漏洞
swordheart的博客
04-20 4198
漏洞详情 披露状态: 2010-08-02: 积极联系厂商并且等待厂商认领中,细节不对外公开 2010-08-02: 厂商已经主动忽略漏洞,细节向公众公开 简要描述: 微软IE在处理本地文件的访问时存在一些问题,结合微软windows的特性可能可以读取本地的某些特殊文件,可能有其他利用。 详细说明: 作为浏览器不可避免的要处理跨域的资源访问的问题,那么一些本身必须允许跨域的标签如iframe,script,style,而这些标签又允许解析某些格式的文件,如符合javascript语法的文件,符合
HTTP协议相关漏洞
qq_48904485的博客
03-22 9866
一、HTTP协议 HTTP一个基于请求与响应模式的、无状态的应用层协议。 请求响应   客户端要向web服务器发送一个请求以后,等待服务器回送http响应消息。 无状态   http协议整个过程当中的各种信息不会被服务器所记录下来。 常基于TCP的连接方式 ,即http是将数据打包成TCP数据包来进行传送的,绝大多数Web应用,都是构建在HTTP协议之上,即目前使用浏览器访问web网站都是以http协议为标准的。 1、HTTP协议的方法 GET :请求获取Request-URI所标识的资源 POST :
电力公司变电运行初级工试题之计算机技术56题.doc
04-22
- Excel具备插入图片、图表等多种多媒体元素的功能,这使得它不仅仅是一个简单的电子表格处理工具,更是一个强大的数据分析展示平台。 - Excel能够与Word等其他办公软件进行数据交换,实现了不同应用程序之间的...
85.网络安全渗透测试—[常规漏洞挖掘与利用篇1]—[xss漏洞挖掘-测试与利用]
qwsn
01-25 5813
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀使命感!!! 文章目录 一、xss漏洞测试与利用 1、相关概念 2、xss漏洞类型 3、xss漏洞测试 4、xss漏洞利用原理:`盗取COOKIE` 5、xss漏洞利用示例:`盗取COOKIE` 6、xss漏洞利用原理:`基础认证钓鱼` 7、xss漏洞利用示例:`基础认证钓鱼` 8、xss漏洞利用原理:`键盘记录器` 9、xss漏洞利用示例:`键盘记录器` 10、关闭浏览器XSS防护机制 11、思考
信息收集及漏洞利用--安全(四)
qq_43371350的博客
04-03 3248
信息收集 收集目标web服务器的网络信息、系统信息、组织信息 网络信息 包括:域名、TCP/UDP的端口、网络协议、防火墙、访问控制策略等 系统信息 包括:系统标识、站点目录、系统架构、路由表、测试/临时文件 组织信息 包括:员工信息、邮箱/电话、公司地址、组织网站、组织背景等 whois信息 收集注册人、电话、邮箱、dns、地址等 whois 信息 whois.chinaz.com , wwww...
HTTP主要安全漏洞解决思路
csolo的博客
01-09 1万+
     本博客整理自图解HTTP众多网络文章,对HTTP完全漏洞进行梳理,并介绍了java解决方案。       简单的HTTP协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击的对象,但是HTTP应用的服务端客户端以及web应用资源是主要的攻击目标。      虽然HTTP协议本身不在安全性问题,但是因为协议本身不包含会话管理、加密处理的要求,因此使用HTTP开发的应用服务器容...
同一局域网内的其他电脑访问我的电脑本地的网站
热门推荐
彳亍
08-08 4万+
一般情况下,如果本地网站可以被自己的电脑访问,就也可以被同一局域网内的其他电脑访问。本地电脑的访问方式:localhost127.0.0.1192.168.1.122 (本地电脑的局域网 IP)web.com (域名)其他电脑访问我的电脑主机中的网站的方式:192.168.1.122web.com无法访问的原因如果其他电脑无法访问我的电脑的本地网站,可能的原因有:本地电脑防火墙的限制。其他电脑我...
Android 应用常见漏洞以及修复方案
haoxuezhe1988的专栏
02-27 4488
             1.1私有文件全局可读,造成信息泄露 漏洞产生原因: 应用开发者在将应用或者用户的相关信息直接明文,或者简单加密(可逆的)保存在应用私有目录下,并没有设置权限,造成全局可读,从而泄露相关隐私信息。 漏洞案例: 百度云:http://www.wooyun.org/bugs/wooyun-2010-0101468 漏洞修复: 改变文件的权限,移除全局可读、...
web渗透测试----19、HTTP请求走私--(2)HTTP请求走私漏洞利用
七天
01-18 2153
HTTP请求走私漏洞利用
IE打开外部应用程序
Clarion.Li's Knowledge Base
05-20 1824
先修改客户端的注册表:Windows Registry Editor Version 5.00[HKEY_CLASSES_ROOT/FBUID]"URL Protocol"=""[HKEY_CLASSES_ROOT/FBUID/Shell][HKEY_CLASSES_ROOT/FBUID/Shell/Open][HKEY_CLASSES_ROOT/FBUID/Shell/Ope
web渗透测试----19、HTTP请求走私--(1)HTTP请求走私漏洞的挖掘
七天
12-30 4302
HTTP请求走私漏洞简介 HTTP请求走私漏洞的产生 HTTP请求走私漏洞的挖掘
HTTP协议web工作原理
kjfcpua的专栏
12-03 8678
本章学完之后能干什么?要把 知识点学好,那就需要把它相关的周边知识点了解全面HTTP协议是web学习的核心!!!学东东切忌只学配置,不学原理:只学会框架有什么用,要会自己写框架!!web学习直接关系到J2EE的学习一、HTTP 超文本传输协议 人类之所发展得如此快,就是因为有自己的语言       1、所谓超文本:即纯文本语言,不依赖于任何特定语言,任何语言都可
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王晓华-吹泡泡的小猫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值