完美世界前传下载,大主宰天蚕土豆,完美世界txt全集下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

我們要在任何可能的地方測(cè)試XSS漏洞

在這篇文章中，我準(zhǔn)備跟大家討論幾種不同的場(chǎng)景，在這些場(chǎng)景中，不同的服務(wù)都會(huì)收集各種各樣的數(shù)據(jù)，但它們又無(wú)法正確地去處理這些數(shù)據(jù)。在某些情況下，數(shù)據(jù)采用的是安全格式存儲(chǔ)和傳輸?shù)模怯捎跀?shù)據(jù)的解析操作以及進(jìn)一步處理的過(guò)程中存在安全問(wèn)題，將導(dǎo)致無(wú)害的字符串變成攻擊向量。

XSS和DNS

如果你在搜索引擎中搜索“通過(guò)DNS實(shí)現(xiàn)XSS”(XSS via DNS)的相關(guān)話題，你將會(huì)看到類似【參考資料一】和【參考資料二】這種介紹如何在TXT記錄中傳遞XSS攻擊向量的文章。但是為什么沒(méi)有人考慮過(guò)其他類型的記錄呢?比如說(shuō)CNAME或NS之類的。因?yàn)槿绻阆氚延蛎鳛橐粋€(gè)攻擊向量的話，你還需要?jiǎng)?chuàng)建自己的NS服務(wù)器。

也許使用DNSCHEF會(huì)是一個(gè)好主意。

我使用的子域名是hack.bo0om.ru(任何子域名都可以)，并且將我的IP設(shè)置成了該域名的NS服務(wù)器。接下來(lái)修改dnschef.ini并完成dnschef的配置，添加下列記錄：

 
 
 
 
  
  
  
  [MX] 
  
  
  
  
  
  
  
  *.xss.hack.bo0om.ru="-->'>