【黑客解析】黑客是如何实现数据勒索
导语
从MongoDB开始到MySQL,黑客瞄准了数据库服务,通过黑客手段获取数据库服务的权限,然后删除数据,在数据库中插入勒索信息,要求支付比特币以赎回数据(可见扩展阅读)。那么黑客是如何实现这整个过程?
从MongoDB开始到MySQL,黑客瞄准了数据库服务,通过黑客手段获取数据库服务的权限,然后删除数据,在数据库中插入勒索信息,要求支付比特币以赎回数据(可见扩展阅读)。那么黑客是如何实现这整个过程?
XSS全称跨站脚本(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS,比较合适的方式应该叫做跨站脚本攻击。
跨站脚本攻击是一种常见的web安全漏洞,它主要是指攻击者可以在页面中插入恶意脚本代码,当受害者访问这些页面时,浏览器会解析并执行这些恶意代码,从而达到窃取用户身份/钓鱼/传播恶意代码等行为。
在常规的漏洞响应中,我们更多的关注漏洞自身的危害、影响结果,这个是点的研发,而往往在利用过程,会有一种面的利用。
这个内容在以前在北航、QCon做分享的时候讲过相关的内容,做了下整理,部分内容是来自COS之前的PPT。
注:文章内容仅限于研究!
先说明下,本文仅代表我自己的观点,从自己多年搞安全自动化、安全研究角度聊聊,先做声明,再写文章,怕自己控制不住自己情绪,哈哈。
在知乎上看到有人提问说对于我们开源 Pocsuite 怎么看(关于知道创宇的 Pocsuite 开源你怎么看? - 知道创宇),我做了回答,想想,写一篇文章,顺便谈谈我对 Pocsuite 开放的想法。
这个坑踩了两次了,所以就记录下.
用的Windows,然后通过Vagrant+VirtualBox安装了个虚拟机,是Ubuntu 12.04.3 LTS,同时将/opt进行目录映射到Windows的E盘某个目录 然后平时的开发工作主要在/opt/dev下进行,然后发现了一个坑
最近比较忙,每天差不多2、3点才睡觉,除了工作的事,还在整理自己的一些东西,包括一些想法、网站以及自己的知识点,不过还是抽出一些时间体验并且真正的以白帽子的身份参加了下sobug众测的两个项目,今天来跟大家聊聊。(如果不懂众测是什么的同学可以先百度了解下)
真正认识冷总应该在今年参加syscan360会议的那会,冷总加了我微信,然后本来要准备见面聊聊天,前后两三次都不正好,没聊成,不过syscan360当天晚上微信上与冷总聊了众测以及sobug的一些自己的想法,相聊盛欢也不知不觉到了2、3点,难得的没有做其他事,之后也想着找时间正正式式参加下,所以就有了后面的参与和今天这篇文章。
转眼从刚开始的乌云众测到现在,众测平台有乌云众测、sobug、漏洞盒子、360刃甲以及威客众测,算算也有5之数了。虽然都注册了帐号,但是其他家的众测倒是没真正的参与过,就不多做评价,只聊聊关于众测、关于sobug的一些事。 闲话扯了一堆,下面进入正题。
中秋马上到了,先预祝大家中秋快乐。
估计这两天大家都在求视频和照片的下载地址,源于好莱坞艳照门事件。
今天一则近百名好莱坞女星 iCloud 账户遭黑客攻击导致裸照泄露的新闻将 iCloud 的安全推倒风口浪尖,其中泄露的女明星包括 Jennifer Lawrence(詹妮弗·劳伦斯)、Kirsten Dunst(克里斯丁·邓斯特)、Jennifer Lopez(珍妮弗·洛佩兹)、歌手Rihanna(蕾哈娜)、Scarlett Johansson(斯嘉丽·约翰逊)等等。
相信很多同学已经看过这些照片和视频了,我就不多加介绍了,然后大家也别求种子啥的,这个肯定是木有的(/抠鼻)。
有同学问,用百度搜索了下,发现国内相关介绍基本是没有,就写篇文章来介绍下。不过看到有现成的介绍,就拿来翻译修改下。 本文的内容主要翻译来自该文章,把一些没必要的话给删了,做了一些整理修改,然后补充一些案例。 http://www.acunetix.com/blog/web-security-zone/universal-cross-site-scripting-uxss/
大家都知道有反射型XSS、存储型XSS、DomXSS,还有之前wooyun知识库上由gainover翻译的mXSS,也就是突变XSS(文章地址http://drops.wooyun.org/tips/956)。
可能比较少同学了解何谓UXSS,UXSS全称Universal Cross-Site Scripting,翻译过来就是通用型XSS,也叫Universal XSS。
那么,UXSS由于前面提到的几种XSS有什么区别?
域下域名后缀没有验证
反正大家看着后缀是等于下列:之后的,基本就可以注册
域名名称的话建议注册1-20,m之类的,可以转为字符带点的
可以转为⒚㏉这种形式的
请收我为徒,教我无上大道,让我打败天下无敌手,天下无敌。好吧,我承认我调皮了,挺长时间没写文章,之前在知乎回来了个黑客收徒的问题,昨天也刚碰到个找我说要拜师的。。。有感而发,把我回答的内容搬过来,顺便做一些补充和修改。
相信很多人有碰到过找别人拜师或者别人找你拜师的事,特别是搞技术的在圈子里稍微有点名气的同学,每每这个时候不知道大家会怎么做?