#!/xeye_team/S
#date:2010-06-18
【\x01 #简述】
Google Mail Checker Plus是Chrome浏览器的一个扩展,支持未读邮件提醒、显示 未读邮件数目,能够预览邮件内容并对邮件进行操作。但其在处理未读邮件标题时并没有对输出的代码进行编码,导致XSS发生。
【\x02 #分析】
安装好Google Mail Checker Plus后,会在你的Chrome地址栏的右边显示出来。 (..更多内容)
#!/xeye_team/G
#date:2010-04-01
[ 信任机制下的问题 ]
这个本来是2010年的愚人节想要发布的。
每年的4-1都是xeye的周年纪念,不管手里的料有没有被抖光了,还是得来扯扯蛋表示我们还在地球。
-=-=-=-=-=-=-=-=-=
I. 信任机制
信任是用于简化流程、关系的一种手段,采取信任之后会产生依赖关系。
比方说,我想要买食物,我本来需要自己带钱再花30分钟的路程来回,而当我想要偷懒的时候,我可以信任A,然后把钱交给A并拜托A来帮我买食物。
在这种情境下便造成潜在威胁:
a、(信任资格)A的品味太差了,食物难以下咽,导致整个事件的底线跌破了。
b、(信任风险)A拿了钱不完成买食物的流程。
c、(信任程度)A完成这件事情超出预计的时间。
Blog中“Clickjacking 拖放攻击”的一些心得,留在这里一份。
Clickjacking从2008年提出到现在只有短短两年的时间,我们可以和其他攻击进行一下对比。用Google搜索:
3,080,000 for Cross-Site Scripting with Safesearch on. --14年的历史
630,000 for Cross-Site Request Forgery with Safesearch on. --10年的历史
394,000 for Clickjacking with Safesearch on. --2年的历史
在这里讨论的Clickjacking,是除了“点击”之外,又加入了“拖放”的思想。用户经常会在浏览器中进行“拖放”操作来代替复制和粘贴,大多数浏览器都支持拖放操作。拖放不局限于“同源策略”,用户可以把一个域的内容拖放到另外一个不同的域。这样,在抛去"同源策略"后,加入“拖放”思想的Clickjacking可以演化出各种不同的攻击,突破很多种防御。
sscon2009会议上《探究xss virus》的议题中我们提到:在基于web平台的操作层面上,有些类似传统桌面的攻击同样会发生,比如盗QQ号/MSN号/web网游号等。攻击的技巧可以好几种:高级钓鱼攻击(甚至不需基于XSS)、XSS keylogger、json hijacking等。
在sscon2009上我们演示的跨子域盗msn号的demo录像,录像挺大的这里放不了,我就提提过程与细节吧: (..更多内容)
我们知道,一般防御CSRF有三种方法,判断referer、验证码、token。
对于判断referer来说,虽然客户端带用户状态的跨域提交,js和as已经无法伪造referer了;但是对于客户端软件和flash的提交,一般是不带referer的,据说一些山寨浏览器也不带。那么就需要为此开绿灯,但这样使得外站的flash请求伪造无法被防御。
而验证码弊端明显:会对用户造成影响。
token的问题也有一些:时效性无法保证;大型服务时,需要一台token生成及校验服务器;需要更改所有表单添加字段。
而最近我在做之类的防御时,想出了另外一种方法,跟xeye、woyigui等人在群里讨论了一番,认为应该是可行的,所以拿出来分享一下,并让其他的牛人看看是否有什么弊端
(..更多内容)
描述:
Google Wave 是 Google 的一款网络交流服务。它将电子邮件和即时通讯结合起来,使人们的交流更方便。Wave Gadget 是目前 Google Wave 两种扩展中的其中一种。Gadgets 是功能完备的应用。
Wave Gadget 可以引用一个外域的xml文件来实现用户所需要的功能。但是 Wave Gadget 却对其所引用的xml文件的内容没有做安全限制,这导致了该xml文件行可以执任意代码,被恶意用户利用。
(..更多内容)
前段时间的软件安全峰会上,viki同学议题相关的freemind在这:)。
实战总比动笔画画来得有效,于是我们也做了好些demo,有些demo会在后续的文章中给出。我们这次主要拿renren.com做了实战,这个web平台提供了很多实战的环境。
图片下载:
Follow us!