标记为“跨站点脚本”的条目

第1页共1页

Skype安全漏洞

只是宣布以下内容:

研究人员发现Skype的一些特性不仅可以随着时间的推移跟踪用户的位置,还有他们的点对点(P2P)文件共享活动,根据纽约大学保利公司网站上的调查结果总结。今年早些时候,德国研究人员发现Skype中的跨站点脚本漏洞这可以允许用户在未经用户同意的情况下更改帐户密码。

“即使用户在网络地址转换(NAT)之后阻止呼叫者或进行连接…-一种常见的防火墙类型…-它也不会阻止隐私风险,根据释放来自纽约保利。

研究团队在两周的时间内跟踪了大约20名志愿者和10000名随机用户的Skype帐户,发现使用VoIP系统的呼叫者可以在与另一个用户建立呼叫时获得另一个用户的IP地址。然后,调用者可以使用商业地理IP映射服务来确定其他用户的位置和Internet服务提供商(ISP)。

用户还可以发起Skype呼叫,阻止一些数据包并快速终止呼叫,以获取不信任的人的IP地址,而不使用响铃或弹出窗口提醒他们。用户不需要在联系人列表中,即使用户明确配置Skype来阻止非联系人的呼叫,也可以这样做。

12月7日发布,2011年下午12:49查看评论

点击顶升

很好。问答点击顶升:

用简单的英语,点击劫持让黑客和骗子在合法网站上的内容下隐藏恶意内容。你知道当一个劫车贼开车时会发生什么吗?好,点击劫持就像这样,除了咔嗒声是那辆车。

“点击顶升”是一个非常性感的名字,但是这个漏洞实际上只是跨站点脚本的一个变体。我们不知道情况有多糟,因为细节仍在保留中。但仅仅这个名字就引起了恐惧。

编辑添加(10/13):更多细节.

10月6日发布,2008年下午1:45查看评论

新的跨站点请求伪造攻击

有趣的以下内容:

当网站允许经过身份验证的用户执行敏感操作,但不验证用户自己正在调用该操作时,就会出现CSRF漏洞。理解CSRF攻击的关键是认识到网站通常不会验证来自授权用户的请求。相反,他们只验证请求来自的浏览器授权用户。因为浏览器运行多个站点发送的代码,有一个站点(用户不知道)向另一个站点发送请求的危险,第二个站点会错误地认为用户授权了请求。

如果用户访问攻击者的网站,攻击者可以强制用户的浏览器向代表用户执行敏感操作的页面发送请求。目标网站看到来自已验证用户的请求,并愉快地执行一些操作,是否由用户调用。CSRF攻击与跨站点脚本(XSS)攻击混淆,但它们是非常不同的。如果不采取保护措施,完全受XSS保护的站点仍然容易受到CSRF攻击。

纸类在这里.

10月6日发布,2008年上午5:42查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。