已完结小说排行榜,听中国有声小说,有声

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

金山網(wǎng)盾遠(yuǎn)程代碼執(zhí)行漏洞及其它bug

由于金山網(wǎng)盾對(duì)惡意地址的處理不嚴(yán)，攻擊者通過(guò)構(gòu)造一個(gè)普通的掛馬頁(yè)面和一個(gè)特殊的URL，可以使操作系統(tǒng)執(zhí)行任何命令。

站在用戶的角度思考問(wèn)題，與客戶深入溝通，找到大廠網(wǎng)站設(shè)計(jì)與大廠網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗(yàn)，讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個(gè)性化、用戶體驗(yàn)好的作品，建站類型包括：成都做網(wǎng)站、網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣、國(guó)際域名空間、虛擬空間、企業(yè)郵箱。業(yè)務(wù)覆蓋大廠地區(qū)。

受影響的系統(tǒng)：

截至本文發(fā)布起的當(dāng)前最新版本及其之前版本。

細(xì)節(jié)：

金山網(wǎng)盾的惡意提示部分UI是用網(wǎng)頁(yè)代碼編寫(xiě)的，在kwstray.exe得到惡意網(wǎng)址的時(shí)候，由于其處理方式的錯(cuò)誤導(dǎo)致了XSS漏洞，同時(shí)利用軟件中實(shí)現(xiàn)的某些功能，可以執(zhí)行任何系統(tǒng)命令。具體分析如下：

在接收到惡意網(wǎng)址后，kwstray.exe采用了如下流程對(duì)字符進(jìn)行了過(guò)濾處理

惡意網(wǎng)址 ——> HtmlEncode ——> unescape ——> 顯示惡意信息

這個(gè)時(shí)候，假如攻擊者估計(jì)在網(wǎng)址中包含html標(biāo)簽，那么很可能會(huì)導(dǎo)致XSS攻擊。不過(guò)由于惡意網(wǎng)址首先進(jìn)行了HtmlEncode處理，直接傳入

<dl id="2gqkw"><delect id="2gqkw"></delect></dl><noframes id="2gqkw"></noframes>