终于完成手头的项目了,可以松了口气.对于一个爱好网络脚本安全的人(请允许我这么说),还是很重视自己写程序的安全性,从sql injection, xss,csrf,都做了过滤,甚至参照discuz,做了表单的formhash,防止本地提交等非法提交.当然,对于安全知识薄弱的我,是不能做的很安全,很完美的,还是需要充电… 下午,特意拜访了牛人的blog剑心,SuperHei 等前辈的blog,找了一些文章阅读,充电…其中,看到剑心前辈的PPT,关于xss, csrf攻击的,谈到了cookie域的问题,也谈到了xss攻击导致雅虎股价下跌的事件.
为什么会出现这样的事情呢?
1,Yahoo登录时的Cookie参数
2,Yahoo服务众多,重要与次要没有分离
3,任何一个XSS都导致所有服务被入侵
4,媒体的炒作
使得小弟倍感兴趣,手也痒痒了,想检测一下自己的程序.打开FF,抓包测试..这时,奇怪的事情发生了,我看到了一些奇怪的数据,如下图..
firefox上gladder奇怪的网络请求
firefox上gladder奇怪的网络请求
firefox上gladder奇怪的网络请求
firefox上gladder奇怪的网络请求
Firefox带着相同的参数不停的请求不同的域名,请求结束之后,立刻又请求 www.baidu.com….但是我的FF是没有打开任何页面的…
奇怪,问题会出现在哪里?这些域名从哪里来?? 开IceSword查看, 只有一个Firefox进程…而我打开的firefox是没有浏览任何网页的…诡异…我脑海里第一个反映就是FF插件搞的鬼?,赶紧停止几个我自认为比较可以的插件,果然,数据正常了…
继续,追踪… 看了下参数,立刻看出来是 base64加密的URL参数,解密,确实”://www.facebook.com”…疑问,满脸的疑问,为什么参数是这个样的? 跟facebook有什么关系???难道目的是打开那页面,然后那页面会根据后面的参数,打开参数的页面,也就是打开 facebook ???? 疑问中…继续追踪… 忽然发现数据包里有条”https://gneheix.googlegroups.com/web/glype?gda=JLdFjzcAAAA3HjXewK9ot5pvme6zn5DGro6E7oIXET7nVD_-2iAS6KAv_Rdh4sBR1ZlWaLOkDX15Xh26_qkMwaGGFl2NCU0D”的数据,赶忙打开看了下,里面全是域名列表,而且,这些列表,正是FF后台请求的域名列表….继续追踪…..
追踪了好久,也没啥结果,一直在请求那些域名,也不知道干吗的…索性直接到firefox拓展网站看看情况,是否有其他网友返回…终于在google groups 里,找到了一个帖子,说的也是这个问题….作者回复”是为了测试当前代理的可用性吧,没仔细看代码,大概应该是这样吧…不停地访问应该不至于吧?有多频繁?太频繁了应该是 bug 吧. ” 我汗, 作者居然说”大概应该是这样吧” 囧…..
遂加了作者的Gtalk,请教了一下,但是作者说,自己并非主要的负责作者,具体的也不太了解,但是会转告…俺又互相客气了一会…..
扯远了扯远了,回来,继续学习前辈的脚本安全….
0 评论.