转帖 看我如何用XSS“干掉”8/9的顶级杀软厂商 16年帖子

QlaqCfan

ccboxes 发表于 2017-4-10 10:31
讲道理眼花了？？   @蓝核

在文章里明明说卡巴是回复最快，也及时修复了，只是没给奖励。

讲道理Low是什么鬼。。。XSS好歹也是OWASP Top 10。而且危害并不小啊，XSS实际上是执行任意js代码，漏洞威力可想而知。对于大型网站完全可以造成恶劣影响的破坏。盗取用户帐号，get webshell。甚至利用存储型XSS进行DDOS或者流量劫持也是猥琐但可以的办法。
发个OWASP链接

https://www.owasp.org/index.php/Cross-site_Scripting_%28XSS%29

回到帖子本身，这新闻挺老了，目前这几家都修复了。但是吐个槽啊，这几家世界顶级的安全厂商，自家的软件或者服务的安全的确做的不怎么合格，下面随意黑几个厂商。

赛门铁克：作为世界范围内最受信赖的ca机构，上个月被chrome降低下发的证书信任，减少证书可信有效期了。原因是这小子证书颁发流程有严重问题。之后被爆证书API存在严重漏洞，连证书私钥都能获取。（我个人觉得赛门铁克ca这水的快赶上lowbee沃通了。。。。）

https://www.bleepingcomputer.com/news/security/google-reducing-trust-in-symantec-certificates-following-numerous-slip-ups/

ESET：上月被爆EEA6这玩意用了一个07年的xml解析器，结果就是这个解析器有缓冲区溢出漏洞直接get root。（EEA/EEV也不比个人版好哪去。。。）

http://securityaffairs.co/wordpress/56744/hacking/eset-endpoint-antivirus-flaw.html

卡巴斯基：加密流量扫描这功能，很多人都开了吧。一月份爆的可被中间人劫持。。。。。

http://securityaffairs.co/wordpress/55028/hacking/digital-certificates.html

Avast：同上，加密流量扫描没搞好，15年10月远程代码执行。

https://www.techworm.net/2015/10/zero-day-exploit-found-in-avast-antivirus-by-google-security-researcher.html

BD：15年直接被端了老家，当然15年卡巴斯基陪着他被端了老家。。。。。

http://www.hackerfilm.com/2015/07/antivirus-maker-bitdefender-hacked.html

http://securityaffairs.co/wordpress/37714/cyber-crime/duqu-2-0-hit-kaspersky.html

黑了以上几家，当然不是说上面都是垃圾，那是无脑黑。只是作为一个安全软件用户，希望他们能做的比普通安全厂商更好，能保护我们用户的安全，而不是引入新的威胁。自身出现了问题能及时勇于去公布去修正。
（这方面上面做的都不错，第一时间公开并且修复。）
此处批评某些国产安软，自身功能不如人家强，自身不光有漏洞而且还流氓。

B100D1E55

翻译文章的人恶不恶心啊，原文是XSSed，翻译过来就变成“攻下”这种震惊部风格了？

B100D1E55

ccboxes 发表于 2017-4-10 23:14
不一样，即使是数据库型的XSS也造不成什么大破坏，最多拿到一些Cookies，网站本身不会受到任何影响，

...

直接社工夹带链接就行了啊

ccboxes

QlaqCfan 发表于 2017-4-11 00:48
讲道理Low是什么鬼。。。XSS好歹也是OWASP Top 10。而且危害并不小啊，XSS实际上是执行任意js代码，漏洞 ...

说这么多和XSS有什么关系呢？
你倒是讲讲用XSS怎么破坏原网站啊。

盗取用户账号？现在大学生的大作业都不会把账户密码明文放进Cookies里。
Web Shell？恕我才疏学浅，XSS攻击的不是客户端吗？如何获得服务器的Root权限？
储存型XSS的确危害不小，但同时，你置主流浏览器的XSS Filter何在？使用XSS进行DDOS不会有什么效果。

XSS刚被发现时大家没有防备，所以出了不少问题，现在而言，真的很LOW。

ccboxes

B100D1E55 发表于 2017-4-11 06:25
直接社工夹带链接就行了啊

XSS本身危害就小，中招了也只是丢Cookies，开了HTTPS-Only的话也就没意义了。社工的话问题的确不小，但任何攻击方式结合社工问题都不小，不能说XSS严重吧。

B100D1E55

ccboxes 发表于 2017-4-11 09:30
XSS本身危害就小，中招了也只是丢Cookies，开了HTTPS-Only的话也就没意义了。社工的话问题的确不小，但任 ...

没说严重但也没必要说low吧。这篇里面挖掘漏洞的思路还是值得借鉴的，有一些厂商sanitize的确做的不坚固。原文本身也没卖弄的气息，而freebuf下面留言一群酸酸的刺眼睛。
reflected XSS本身的确算不上太高危的东西，但作为chained attack的一环也算有威胁性

蓝核

bbszy 发表于 2017-4-10 22:56
为啥趋势没有

没测试~~~~~~

蓝核

B100D1E55 发表于 2017-4-11 06:24
翻译文章的人恶不恶心啊，原文是XSSed，翻译过来就变成“攻下”这种震惊部风格了？

哈哈哈 uc震惊部的影响么 毕竟为了流量和噱头

蓝核

ccboxes 发表于 2017-4-11 09:30
XSS本身危害就小，中招了也只是丢Cookies，开了HTTPS-Only的话也就没意义了。社工的话问题的确不小，但任 ...

没有low不low吧 只要卡死还好 就是可以作为导线引入

蓝核

QlaqCfan 发表于 2017-4-11 00:48
讲道理Low是什么鬼。。。XSS好歹也是OWASP Top 10。而且危害并不小啊，XSS实际上是执行任意js代码，漏洞 ...

铁壳那个ca的 不过我觉得铁壳不怕 毕竟最大安全厂商了 chrome也是他牵的 除非谷歌自己去做证书了 去年他家引擎也出事了 好像直接蓝屏的钙

端老窝的好像好几家吧……我记得哪家账号系统也出过事