注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

醉雨他乡游的博客

—— 记录生活中的点点滴滴, 开心与伤心, 回忆与憧憬, 成功与失败, 酸甜苦辣

 
 
 

日志

 
 

紐約時報所有2013年前舊文章XSS漏洞  

2014-11-17 14:38:50|  分类: XSS |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

紐約時報所有2013年前舊文章XSS漏洞
 
 

 

跨站腳本攻擊(Cross Site Scripting),為不和層疊洋式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS。惡意攻擊者往Web頁面裏插入惡意html代碼,當用護瀏覽該頁之時,嵌入其中Web裏面的html 代碼會被執行,從而達到惡意攻擊用護的特殊目的。


 

新加坡南洋理工大學物理和數學科學學院博士生王晶(Wang Jing)發現,紐約時報所有2013年前的文章都可已用來攻擊。“2013年前所有包含“PRINT”,”SINGLE PAGE”, “Page” 和“NEXT PAGE” 按鈕的文章都有此漏洞“。





Graphic-Design-computer






當被問及漏洞的重要性時,王晶回答“對XSS攻擊而言,非常重要的壹件事情是如何說服受害者點擊URL。因為所有的舊文章都可已用來攻擊,所有用護非常容易遭受攻擊“。



研究者王發布了壹個POC視頻和博客說明:


 

王同時說明,紐約時報現在采取了壹種更安全的機制,這種機制不再遭受XSS攻擊。





發布在2013年前的文章是否重要?
問前還是非常嚴重的,因為所有 紐約時報2013年前的文章還在被大量引用。 據此產生的流量也非常大。所以此漏洞及易使紐約時報用護和其他合作者遭受攻擊。
 
XSS 攻擊後果?
漏洞的危害取抉於攻擊代碼的威力,攻擊代碼也不局限於script。 用護可以被竊取個人資料,重定向到其他頁面等。
 
 
 




參考文章:
http://securityrelated.blogspot.sg/2014/10/new-york-times-nytimescom-page-design.html?view=mosaic
  评论这张
 
阅读(5)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017