来自 网络 2021-10-12 01:18 的文章

ddos高防ip_防御ddos流量攻击_免费测试

ddos高防ip_防御ddos流量攻击_免费测试

这篇文章最初发表在AppSec实验室的博客上。 你可能听说最近有广告说,全球最大的在线购物网站之一的AliExpress被发现存在严重的安全缺陷。作为发现跨站点脚本(XSS)漏洞的人之一,我想在下面的文章中讨论并详细说明。 几个月前,我从AliExpress买了一些东西。买完东西后,我给卖家发了一条短信,想问他关于这些商品的问题。根据我在AppSec实验室担任应用程序安全专家的经验,我曾怀疑它可能会受到某种安全漏洞的攻击,因此我开始在不损害系统或其用户的情况下在本地调查该问题。 经过简短的调查,我得出结论,网站上的任何买家都可以浏览任何商品,并可以使用易受攻击的"立即联系"功能向卖家发送信息。任何注册的买家都可以滥用此功能,他们可以向卖家发送包含恶意负载的消息。 一旦我得出结论,我需要与AliExpress安全团队取得联系,让他们意识到问题所在,并允许他们解决问题。我尝试了几次与他们联系,但不幸的是,我没有收到任何电子邮件回复,也无法通过在线支持获得安全团队的电子邮件地址。我开始通过社交媒体网络寻求帮助(为了联系AliExpress),在那里我遇到了Amitay Dan,他声称发现了另一个漏洞。他也曾试图联系AliExpress,但也没有得到满意的答复。 必须强调的是,我从一开始就打算联系AliExpress,并亲自向他们报告安全漏洞,以便他们能够修复,彻底防御cc攻击,这是出于对全球各地的AliExpress用户,包括我自己,应该能够使用一个适当安全的网站的真正担忧。在无数次试图获得他们的支持后,我才在社交媒体上寻求进一步的帮助。 最近几天,在Amitay&I接受了当地10频道新闻台的采访后,高防CDN推荐,关于我们揭露AliExpress安全漏洞的消息传遍了全世界的媒体,最后,我们通过Facebook上的AliExpress–Israel fan页面与AliExpress代表取得了联系,ddos防御成本为何那么高,为了证明和解释我们检测到的安全漏洞,他们将我们与AliExpress的相关联系人联系起来。 我必须说的是,一旦与AliExpress取得初步联系,他们就非常认真地对待这个问题,我们收到了一份官方消息,称我们检测到的漏洞在两天内得到修复。收到这条消息后,我当然亲自测试了它,我确实可以确认我发现的漏洞现在已经修复了。AliExpress XSS黑客攻击的POC 技术细节我检测到的漏洞是persistent XSS,它允许攻击者将恶意的HTML/JS代码注入到消息内容中,自己的服务器怎么防御CC,因此当卖家打开一条消息甚至只是打开消息中心时,恶意脚本就会在卖家的浏览器上执行。通过这种方式,攻击者可能会接管帐户并从受害者的帐户中窃取数据。使用XSS攻击可以实现以下操作: 窃取用户的会话cookie。从服务器读取响应。执行应用程序操作。打开用户的摄像头。执行网络钓鱼攻击以窃取用户的密码或其他敏感数据。该攻击可以在网站内容上方创建一个HTML层,并使用提交表单要求用户填写。 以下是可能的攻击场景: 攻击者通过"立即联系"功能向存储区发送消息,并向内容中注入恶意脚本。卖家浏览AliExpress信息中心。恶意脚本在卖家的浏览器上执行,然后可能导致上述任何攻击场景(取决于脚本的内容)。 熟练的黑客可以轻松利用这种跨站点脚本(XSS)漏洞,并通过向许多甚至全部AliExpress发送恶意消息来执行目标明确的攻击卖家。这个最终可能对AliExpress网站或其用户造成巨大损失。 *这个博客由baraktawili撰写,无线路由器ddos防御,最初发布在AppSec实验室(@AppSecLabs)网站上。Ali ExpressApplication SecurityCross Site Scriptinge CommerceOWASPXSS生物最新帖子莎朗·所罗门莎朗·所罗门的最新帖子物联网(IoT)-破解我的军队-2016年3月14日静态代码分析工具-AppSec检查表-2016年3月3日你想知道的关于HTML5安全的所有信息-2016年2月15日