金山微博卫士抢鲜体验，拦截能力不敢恭维

显示全部楼层 · 发表于 2011-7-2 16:39:01

本帖最后由 liangwumi 于 2011-7-2 16:42 编辑

声明：纯产品体验，纯技术分析，谢绝口水

今天凌晨，金山毒霸官方博客推出新版本新增微博卫士。这个号称可以拦截几乎所有社交网络有可能出现的XSS漏洞攻击的工具，是否像传说中那样神乎其神？不做过多点评，以下的试验可以说明一些问题--

如图：
逆向工程发现金山仅能拦截SCRIPT标签攻击

从上面可以看出，金山微博卫士的拦截仅仅能对日前的新浪微博病毒的那一种攻击方式起效（即金山微博卫士发布时用于测试的那个链接。而这个漏洞，新浪在病毒事件的当天就已紧急修复
如果新浪微博病毒的利用者稍微变换攻击方式，或者以后再出现微博等社交网站上的XSS漏洞攻击，金山微博卫士都是完全无效的。

再如下图，开启金山微博卫士，无法拦截非常流行的针对微博的利用JAVASCRIPT伪协议进行的XSS漏洞攻击。

小结：
金山微博卫士仅仅简单地拦截了HTML标签中的SCRIPT标签形式的攻击，这只是一种最简单的攻击方式，只要网站存在XSS漏洞，利用各种HTML标签和字符串编码稍微组合一下，就可以绕过金山微博卫士的拦截。

对于一些非常流行的利用XSS漏洞攻击方式，例如VBSCRIPT伪协议，SCRIPT事件等等，金山微博卫士也完全不具备防护能力，只要微博网站受到XSS漏洞攻击并使用这些攻击方式，使用金山微博卫士的用户就会中招。

数字推出了微博卫士，金山紧接着也推出了，呵呵，以为会有新的惊喜，没想到会是这样的体验结果

显示全部楼层 · 发表于 2011-7-2 16:43:14

本帖最后由 julia跺跺于 2011-7-2 16:51 编辑

能测试下360的么我想看看~

显示全部楼层 · 发表于 2011-7-2 16:44:07

金山慢了半拍啊

显示全部楼层 · 发表于 2011-7-2 16:44:07

哈哈，真是热闹哈，你做什么，我也做什么哈

显示全部楼层 · 发表于 2011-7-2 16:45:15

看不懂

显示全部楼层 · 发表于 2011-7-2 16:46:19

eiks。被揭底了

显示全部楼层 · 发表于 2011-7-2 16:46:27

据说某卫士也有

显示全部楼层 · 发表于 2011-7-2 16:46:47

本帖最后由月满楼于 2011-7-2 16:47 编辑

呃，抄还没抄像，情何以堪啊，小金金。

显示全部楼层 · 发表于 2011-7-2 16:48:31

http://bbs.duba.net/thread-22477462-1-1.html
见5楼，已经说明非通用

显示全部楼层 · 发表于 2011-7-2 16:49:34

期待楼主对另一厂商的微博卫士进行分析。

[金山] 金山微博卫士抢鲜体验，拦截能力不敢恭维

本帖子中包含更多资源