码迷,mamicode.com
首页 > 其他好文 > 详细

舍得装饰|南宁装修公司|南宁装饰公司|南宁家装公司

时间:2015-04-17 15:58:22      阅读:284      评论:0      收藏:0      [点我收藏+]

标签:fv

这个RFD(反射型文件名下载)漏洞存在于Instagram API中。通过篡改任何用户账号的访问令牌并使用一些技巧,攻击者可以创建一个恶意文件下载链接。同时由于这个链接指向Instagram域名上的合法资源,所以很难被用户觉察。


 “我在Instagram API上发现了一个RFD(反射型文件名下载),不需要向URL上添加任何指令,因为我们可以使用一个持久型反射域来实现它,例如用户账号上的“Bio”域。

那么,我们需要什么呢?仅仅需要一个令牌。不过不用担心,我们只需注册一个新的账号就能得到一个令牌。下一步,插入我们想在用户账号的“Bio”域(或其他域)中使用的批处理指令。接着,我将尝试用Chrome浏览器打开一个包含恶意代码的新页面,该恶意页面可以禁用该浏览器中的大多数保护机制。”


为了构建“反射型部分”,Sopas在用户账号的“Bio”域中插入了一个批处理指令,并解释说插入到其他域也可以实现同样的功能。然后,他用Chrome浏览器打开一个包含恶意代码的新页面,该恶意页面可以禁用浏览器中的大多数保护机制。

通过分析了用户的Instagram JSON文件,然后通过修改JSON文件来实现“文件名部分”:

1 www.nnjiran.com

南宁吉然糖业技术有限公司


2 www.tongwanglawfirm.com

广西同望律师事务所


3 www.yzxx100.com

南宁赢在形象设计咨询有限公司


4 www.guijuans.com

无标题


5 www.chipstar.com.cn

京东商城退款人工客服电话是什么


6 www.judong.com.cn

页面获取失败  『重试』


7 www.greenvillegolf.cn

南宁青秀山国际高尔夫俱乐部有限公司 | 南宁青秀山国际高尔夫俱乐部 | 南宁青秀山国际高尔夫


8 guikuang.com

http://www.guikuang.com/


9 mail.guikuang.com

http://mail.guikuang.com/defau…


10 yzxx100.com

南宁赢在形象设计咨询有限公司


11 judong.com.cn

页面获取失败  『重试』


12 chipstar.com.cn

页面获取失败  『重试』


13 www.gxhyjn.com

广西华岳节能环保股份有限公司


14 gxjft.com

页面获取失败  『重试』


15 www.pgqjw.gov.cn

贺州市平桂管理区纪检监察网


16 pgqjw.gov.cn

贺州市平桂管理区纪检监察网


17 www.yuanchendc.com

诚信致远,和谐人居 - 远辰地产集团


18 www.bagui-online.com

广西南宁美筑建材有限公司官网-烧结砖_陶土砖_透水砖_页岩烧结路面砖_烧结透水砖_清水砖_青砖青瓦_劈开地砖_建菱砖_井字形植草砖_生态互锁砖_护坡砖_隔热砖_轻质加气砖_码头砖_PC砖生产厂家


19 hanger-zone.com

淘宝网人工服务电话是多少怎么转人工服务


20 www.gxlzwqhg.com

21 gxsanli.com

广西三力 劳务派遣的好助力


22 www.gxjft.com

集付通支付有限公司 -人民银行授权的第三方预


23 www.qincci.com

淘宝网投诉商家卖家客服电话


24 gxlzwqhg.com

http://gxlzwqhg.com/index


25 www.jftzf.com

集付通支付有限公司 -人民银行授权的第三方预付卡发行公司,为您提供专业的广西礼品卡、购物卡、福利卡等解决方案


26 gxshede.com

舍得装饰|南宁装修公司|南宁装饰公司|南宁家装公司


27 www.gxshede.com

舍得装饰|南宁装修公司|南宁装饰公司|南宁家装公司


28 jftzf.com

集付通支付有限公司 -人民银行授权的第三方预付卡发行公司,为…


29 www.sy4512345.com

金点原子锁官网--官方授权南宁阳光锁业--4000 677 568


30 www.lanhucg.com

蓝狐CG原画室


31 nnsmk.com

南宁市市民卡唯一官方网站


32 www.nnsmk.com

南宁市市民卡唯一官方网站


33 www.gxnanyang.com

广西南宁南氧医疗设备有限公司


34 www.zhongfuyu.com

淘宝网消费者投诉客服电话是多少


35 tongwanglawfirm.com

广西同望律师事务所


36 www.nn25z.com

天猫商城退款人工客服电话是什么4006805675


37 www.nnqixin.com

淘宝退款人工客服电话是什么400-6805675


38 dx18.topnic.net

无标题


39 sljjw.gov.cn

上林纪检监察网


40 xnfyzr.com

3月18日,Pwn2Own 2015将在加拿大温哥华拉开战幕。在持续两天的比赛中,来自全球顶尖黑客高手,将向IE、Chrome、Safari、Firefox等常见浏览器以及IE的Flash和PDF插件发起攻击,夺取高额比赛奖金。

技术分享

不过对于很多信息安全的新手来说,他们往往会将Pwn2Own与另一著名国际黑客赛事Defcon ctf混淆,搞不清楚两者的区别。

借着Pwn2Own 2015开赛在即的间隙,小编从比赛形式、参赛门槛、参赛选手、活动氛围四个维度对两大国际黑客大赛进行全面对比,帮助年轻黑客及安全技术研究爱好者更好的认识和了解Pwn2Own与Defcon CTF 。

Pwn2Own像射击,Defcon CTF像足球

Defcon CTF更倾向于人与人之间的对抗。CTF赛制代替之前黑客们通过互相发起真实攻击进行技术比拼的方式,得到广泛普及。仅2014年全球就有超过50场国际性CTF赛事举办,而DEFCON CTF总决赛则是CTF赛事中最顶尖的舞台。

与之相比,至今仅第七个年头的Pwn2Own就要年轻的多,比赛形式也更新颖。Pwn2Own比赛的目标硬件为安装当年最新系统的Windows或苹果笔记本,软件则是最新版浏览器及其插件。

由美国五角大楼入侵防护系统供应商TippingPoint的DVLabs赞助总计近百万美元的赛事奖金每年吸引着无数顶尖的黑客对这些产品发起挑战。

不难看出,Defcon CTF对临场发挥的要求更高。而从竞技的角度来说CTF更倾向于对抗,Pwn2Own则是对同目标的比拼。用体育项目来比喻的话,CTF就是足球比赛,Pwn2Own就是目标明确的射击比赛。

顺便说说今年Pwn2Own的6个“靶心”。浏览器目标有三个,分别为Chrome 42、 IE 11、Firefox,两个Windows浏览器插件目标即运行在IE 11内的Flash播放器和PDF阅读器,以及苹果系统自带的Safari浏览器。


本文出自 “jixian” 博客,请务必保留此出处http://jixian.blog.51cto.com/497896/1633829

舍得装饰|南宁装修公司|南宁装饰公司|南宁家装公司

标签:fv

原文地址:http://jixian.blog.51cto.com/497896/1633829

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!