注册
登录
| 关键词: 一文 雅虎 引擎 nbsp 先前 漏洞 手法 daxia123 直接 大量 |
平常用 Yahoo 搜尋引擎的人要特別注意了。搜尋結果會出現帶有 XSS 攻擊的連結,若是連結目標網站存在 XSS 漏洞,會導致瀏覽者的瀏覽器軟體遭受攻擊,系統有被植入惡意程式的風險。這是網頁掛馬手法的翻新利用。該惡意連結與先前<駭客集團於新年假期展開罕見之大規模SQL Injection攻擊>一文的惡意連結相同。詳細分析其中一個搜尋連結:直接搜尋"inurl:daxia123"的連結:可以看到很多搜尋連結夾帶攻擊碼,如果點選連結,配合 XSS 漏洞,會導致瀏覽者遭受攻擊。直接搜尋"inurl:jxmmtv"的連結:手法跟 daxia123 幾乎是一樣的,當然,因為是一夥的。研判可能原因有:1.大量掛馬的網頁,造成雅虎搜尋引擎抓到網頁連結時,就是已經被掛馬的連結,導致搜尋連結帶有惡意網址。2.有人大量餵給雅虎搜尋引擎掛馬連結,導致搜尋結果的連結,帶有惡意網址。先前 google 也有遭利用,被用來進行掛馬攻擊,可以參考 鳥毅-<Googlt Bot會找漏洞>一文。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
