最近发现搜狐博客存在一个XSS漏洞,可以允许用户添加任意的HTML和JavaScript代码并执行,这样访问都就很容易被定位到任意网站,甚至在用户的电脑上植入木马等。
这个漏洞主要来源于搜狐博客在设置标题和说明时,虽然在前台设置了32个字符的限制,但是在后台并没有进行验证,所以很容易使用Firebug一类的工具随便输入任意长的字符串。更加严重的是用户可以HTML文件中的的标签的value属性值中使用多次编译ASCII的方法实现跳转。
由于搜狐还没有修补这个漏洞,所以不太方便透漏具体使用方法,本人也没有在搜狐博客上做任何的攻击性的尝示。还好,有人已经身先士卒地尝试了。大家可以看现在这个例子:
如果你足够大胆可以尝试访问这个链接:http://qqoe.blog.sohu.com/
注意:上面的链接会把你带到一个含有木马的网站,如果你实在很好奇的话你可以在打开网站的短时间内按ESC键或者浏览器上的“停止”。
雷神推出了新款黑武士ZQ25F250L电竞显示器,配备24.5英寸Fast IPS面板,支持250Hz高刷新率,首发1299元。
徕卡Cine Play 1投影采用了三色激光技术,并配备了徕卡Summicron变焦镜头,可投射65-300英寸范围内的无损4K分辨率画面。
上周,AMD有可能带来带有3D V-Cache的线程撕裂者处理器;预估2025年DRAM产量将年增25%;AMD数据中心领域的收入首次超越英特尔;英特尔酷睿Ultra 9 285H跑分现身。
赵明称,荣耀对于不涨价一直很笃定,只希望做好自己,并澄清没有连夜劝高管不涨价的故事。
在明年的iPhone 17系列手机中,iPhone 17 Pro Max预计使用可变光圈,在iPhone 18 Pro中,可变光圈将作为标配功能,配备在两款Pro版机型中。而这已经落后了华为4年时间。
Redmi品牌总经理王腾今天表示,K70已经提前完成生命周期销售规划,现在已结单。K80系列会更强,已经在路上了。
双11笔记本不内耗选购指南
什么是AI PC?我们该如何认识AI PC
网友评论