首页 > 代码库 > qqzoneQQ空间漏洞扫描器的设计attilax总结

qqzoneQQ空间漏洞扫描器的设计attilax总结

 

qqzoneQQ空间漏洞扫描器的设计attilax总结

 

1.1. 获取对方qq(第三方,以及其他机制)1

1.2. QQ空间的html流程1

1.3. 判断是否有权限1

1.4. 2015年度Web服务器安全漏洞 TOP51

1.5. 2014年互联网十大安全漏洞及思考_安全_比特网.htm1

1.6. OWASP十大安全漏洞分别是: 2

 

 

1.1. 获取对方qq(第三方,以及其他机制)

1.2. QQ空间的html流程

http://user.qzone.qq.com/314087978

http://analy.qzone.qq.com/cgi-bin/apptrace?uin=312153274&action=100&platform=1&appid_via=QZ.REJECTEDVISITOR.WEBGAME

http://b198.photo.store.qq.com/psb?/V12tKdAY47FMFv/m0Xx8t61vKpjOA38laRrDIOsa3aJ86Vn1QxvkbGXf4Y!/c/dMYAAAAAAAAA&n=1&rf=fhpinshouxia

1.3. 判断是否有权限

 

1.4. 2015年度Web服务器安全漏洞 TOP5

 

Line 18: 一、JAVA反序列化系列漏洞

 

Line 44: 二、Redis 未授权访问漏洞

Line 56: 三、Juniper Networks(瞻博网络)远程管理访问后门

Line 64: 四、IIS系列Http.sys处理Range整数溢出漏洞

 

Line 75: 五、BIND9 TKEY 拒绝服务漏洞

 

1.5. 2014年互联网十大安全漏洞及思考_安全_比特网.htm

12014CVE漏洞分布

2CVE漏洞总数趋势

1Heartbleed漏洞

2Shellshock(BASH)漏洞

3SSL 3.0 POODLE漏洞

4Microsoft KerberOS权限提升漏洞:

5BadUSB

6IE通杀代码执行漏洞

7Microsoft Windows全版本提权漏洞

8NTP远程代码执行以及拒绝服务攻击漏洞

CVE-2014-9293CVE-2014-9294CVE-2014-9295CVE-2014-9296

  网络时间协议(NTP)功能是用于依靠参考时间源同步计算机的时间。本次同时爆出CVE-2014-9293CVE-2014-9294CVE-2014-9295CVE-2014-92964CVE漏洞。

9Adobe堆缓冲区溢出漏洞

10Microsoft .NET Framework远程权限提升漏洞

1.6. OWASP十大安全漏洞分别是:

1. 注入,包括SQL、操作系统和LDAP注入。
2. 有问题的鉴别与会话管理。
3. 跨站脚本攻击(XSS)。
4. 不安全的直接对象引用。
5. 安全配置错误。
6. 暴露敏感数据。
7. 函数级访问控制缺失。
8. 跨站请求伪造(CSRF)。
9. 使用存在已知漏洞的组件。
10. 未验证的重定向。

OWASP发布2013年十大Web应用安全漏洞 - 极客头条 - CSDN.NET.html

 

参考资料

实战腾讯QQ ClientKey漏洞【勿干坏事喔】.html

技术揭秘“QQ空间”自动转发不良信息 - FreeBuf.COM _ 关注黑客与极客.html

QQ空间中的几个漏洞结合利用 - 网站安全 - 红黑联盟.html

 

作者:: 绰号:老哇的爪子 ( 全名::Attilax Akbar Al Rapanui 阿提拉克斯 阿克巴 阿尔 拉帕努伊 ) 

汉字名:艾提拉(艾龙)   EMAIL:1466519819@qq.com

转载请注明来源: http://www.cnblogs.com/attilax/

 

Atiend

 

 

qqzoneQQ空间漏洞扫描器的设计attilax总结