根据外媒报道,流行博客程序WordPress4.2存在Oday漏洞,该漏洞可导致攻击者使用跨站攻击,从而控制网站。此漏洞被报告2个小时后,官方紧急发布了4.2.1安全更新,补上了此漏洞。
根据安全公司的报告,此次发现的漏洞一共有2个,为XSS跨站攻击漏洞。漏洞允许攻击者将代码插入到网站的 HTML内容。通过将恶意代码嵌入到博客的底部或文章后默认显示评论的部分,攻击者可以更改密码、 添加新管理员,执行任何其他管理员能执行的操作。安全公司公布了攻击演示代码和视频。
Tag: 漏洞
2012年互联网信息安全攻击事件研究热点分析
2011年的互联网信息安全攻击事件,除了常见的针对操作系统的漏洞攻击,针对金融机构的钓鱼网站攻击之外、还包括以日本索尼千万级用户和国内CSDN超过600万用户密码泄露为代表的针对互联网用户的安全事件。这些安全事件的发生,其本质也离不开对各种安全漏洞或者是0day漏洞的依赖,这也为安全漏洞的挖掘分析提供了参考。2012年,以基础设施的漏洞安全、云安全、社交网络的信息泄露、移动智能终端的安全以及APT高持续性攻击为代表的关键词汇,将成为信息安全领域的研究热点。
1、 基础设施安全漏洞
此类以微软和苹果为代表,涉及到操作系统、浏览器类等。这一部分基础设施类的应用程序研究重点有三大部分:
1)以微软为代表的操作系统类的产品安全漏洞:2011年微软共发布了接近100个安全补丁,修复的包括操作系统内核、Office系列办 Continue reading "2012年互联网信息安全攻击事件研究热点分析"
微软11月安全公告发布:3个补丁 修复11处漏洞
微软今天发布了11月份安全公告,在本月发布的3个安全补丁中,只有1个为最高的危急级别,另外2个为重要级别,共修复11个漏洞。
这3个补丁中有两个都涉及Office,其中一个为危急级别。这种情况并不多见,通常Office相关的补丁都是重要级别,“危急”意味着此次要修复的漏 洞可能会导致用户机器受到控制。另外一个补丁则将修复Forefront Unified Access Gateway中的一个权限提升漏洞。
本月补丁所影响的软件为:Office XP SP3、Office 2003 SP3、Office 2007 SP2、Office 2010、Office for Mac 2011、PowerPoint Viewer。
访问:Microsoft Security Bulletin MS10-087
https://www.microsoft.com/technet/security/Bulletin/MS10-087.mspx
Flash强制启动视频“Clickjacking”漏洞利用视频演示+工具+修复补丁
pop:仔细看了一下相关的文章,我个人觉得要是Adobe没有补丁的话,那么这个问题应该不一定是falsh播放器的问题,或许跟用户操作有关系。哈哈,不玩游戏,不点flash,没有摄像头,保证你能避免被别人利用。
利用视频:
http://www.youtube.com/v/gxyLbpldmuU&hl=zh_CN&fs=1
修复工具:
http://dl.360safe.com/360flashvfix.exe
Clickjacking漏洞形成介绍:
Clickjacking是OWASP_NYC_AppSec_2008_Conference的一个保密的议题
下面介绍摘抄于 刺的博客
Clickjacking太猥琐了
Clickjacking跟XSIO原理差不多,不过这个是弄个iframe设置为透明,然后用style控制别的元素的位置(z-index),比如伪造一个button。
这样当伪造的button漂浮在透明的iframe上时候,让人点击button,实际上就是点击了iframe里的那个链接。
所以当iframe指向某个网站时候,就可以欺骗用户去点击该网站里链接,所以anti-CSRF常常使用的token也会变得无效,因为这是用户自己的行为。
所以从另外一个角度来说,XSIO也是一种clickjacking,图片同样可以设置为透明。不过XSIO所无法达到的效果就是不能得到anti-CSRF的token。
在使用clickjacking的时候要记住IE下iframe是拦截本地cookie的,所以需要使用session cookie来达到CSRF的目的。
Clickjacking利用工具:
http://it.slashdot.org/firehose.pl?id=1206197&op=view