成人黄色视频免费在线观看,国产美女AV福利色,最新一级片在线播放

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

一年之后，雅虎終于修復(fù)了SSRF漏洞

時隔一年之后，雅虎終于修復(fù)了圖片處理系統(tǒng)上的SSRF(服務(wù)端請求偽造)漏洞。

成都創(chuàng)新互聯(lián)從2013年成立，先為西平等服務(wù)建站，西平等地企業(yè)，進行企業(yè)商務(wù)咨詢服務(wù)。為西平企業(yè)網(wǎng)站制作PC+手機+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。

SSRF(服務(wù)端請求偽造)漏洞，也稱XSPA(跨站端口攻擊)，問題存在于應(yīng)用程序在加載用戶提供的URL時，沒能正確驗證服務(wù)器的響應(yīng)，然后就反饋回了客戶端。攻擊者可以利用該漏洞繞過訪問限制(如防火墻)，進而將受感染的服務(wù)器作為代理進行端口掃描，甚至是訪問系統(tǒng)中的數(shù)據(jù)。

來自加利福尼亞的研究員Behrouz Sadeghipour稱他是在2014年的7月份在雅虎圖片處理系統(tǒng)上發(fā)現(xiàn)的該漏洞，時隔發(fā)現(xiàn)時間已經(jīng)有將近一年了，直至今日雅虎公司才給予修復(fù)。

漏洞詳情

雅虎提供Flickr和yahoo group服務(wù)，用戶可以在評論中使用IMG標(biāo)簽添加圖片，但圖片會通過雅虎的圖片域名yimg.com進行加載。

https://ec.yimg.com/ec?url=http%3A%2F%2Fnahamsec.com%2F2.gif&t=1404282499&sig=gDQqxuPTgioR4SoCGeuIZg–~B

Sadeghipour可以通過向yimg.com發(fā)送請求，執(zhí)行跨站腳本(XSS)攻擊。他還可以將請求中的url參數(shù)字段替換成自己的url，然后發(fā)動SSRF攻擊。

hXtps://ec.yimg.com/ec?url=http%3A%2F%2Fnahamsec.com%3A22&t=1412102561&sig=zY7a9hM3xmRYvX05Avis9A–~B

https://ec.yimg.com/ec?url=http%3A%2F%2Flocalhost%3A22&t=1412569827&sig=TyFD2z3x5eqUWlF1PtgMKA–~B

該漏洞屬于中危漏洞，但是其危害程度卻不小。攻擊者利用它可以訪問本地網(wǎng)絡(luò)，甚至還可以查看本地設(shè)備或者遠程設(shè)備有哪個端口是打開的。

本文題目：一年之后，雅虎終于修復(fù)了SSRF漏洞
網(wǎng)頁地址：http://www.5511xx.com/article/cdjdhgd.html

新聞中心

其他資訊