Flash脚本过滤不严 网站被黑客挂马
|
SNS火爆,Discuz!也适时地推出能将Discuz!论坛变为SNS网站的软件UCenter Home。该软件可以免费使用,不少Discuz!论坛进行了升级。在搜索引擎中搜索“Powered by UCenter Home”,可以得到约19400000条结果。我们安全研究团队发现该软件存在安全隐患,可以导致大量SNS网站被挂马。
之前听说UCenter Home搭建的SNS社交网站,可以弹出任意网站。听到这个消息我比较吃惊,那不就是说可以在UCenter Home搭建的SNS社交网站中随意地挂马吗? 经过一番检测,我发现UCenter Home的安全措施做得不错,一些常见可能出漏洞的代码都特别处理过了,但是没有对用户上传的Flash进行脚本过滤。 本期主角 UCenter Home 之前听说UCenter Home搭建的SNS社交网站,可以弹出任意网站。听到这个消息我比较吃惊,那不就是说可以在UCenter Home搭建的SNS社交网站中随意地挂马吗? 既然同事敢这么说,一定是有根据的,我决定寻找原委,一探究竟。经过一番检测,我发现UCenter Home的安全措施做得不错,一些常见可能出漏洞的代码都特别处理过了,但是没有对用户上传的Flash进行脚本过滤。 安全小百科:UCenter Home是一套采用PHP+MySQL构建的社交化网络软件(Social Network Software,简称SNS)。通过它建站者可以轻松构建一个以好友关系为核心的SNS交流网站,让站点用户可以用迷你博客一句话记录生活中的点点滴滴,方便快捷地发布日志、上传图片,与其好友们一起分享信息、讨论感兴趣的话题。 Flash脚本过滤不严 SNS社交网站允许插入Flash动画再平常不过,可谁也没想到Flash的安全隐患。Flash支持一种名为ActionScript的脚本语言, 它可以让Flash实现许多交互效果,也留下了诸多隐患,例如弹出新窗口等,没有对ActionScript进行有效的过滤,最终导致了UCenter Home可以被黑客在里面挂马。 这一次UCenter Home中的漏洞允许黑客做两件事情,弹出网页和弹出窗口,比起一般的挂马漏洞来说,黑客可以做更多的坏事,例如在挂马之外黑客通过弹出中奖网页进行诈骗。 安全小百科:ActionScript脚本语言是 Macromedia(现已被Adobe收购)专门为Flash开发的,最初是一种简单的脚本语言,现在最新版本3.0,是一种完全面向对象的编程语言,功能强大,类库丰富,语法类似JavaScript,多用于Flash互动性、娱乐性、实用性开发,网页制作和RIA应用程序开发。
|
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
