微软修复SharePoint 2013 XSS漏洞
SharePoint是Microsoft Office套件中的一款工具,可为个人和公司创建门户页面。
该漏洞(CVE-2015-2522)是由FortiNet公司的FortiGuard实验室安全研究人员发现,该漏洞影响到SharePoint 2013 15.0.4571.1502及早前版本。
SharePoint是由微软公司开发的Web应用平台,将各种商业相关管理功能集合在一起的工具集,减轻了系统管理员早前需要从各种软件之间切换的负担。
在大多数真实情况下,SharePoint服务器部署在企业封闭的网络环境中,服务于大中型企业内部网,一度成为微软企业产品之最。提供内容管理,资料管理,个人云,社交网络,搜索,商务智能,工作流程管理等功能。
不恰当的过滤造成XSS缺陷
根据FortiNet的研究人员描述,攻击者可以在几个输入字段中键入恶意代码对微软的SharePoint平台进行XSS攻击。这几个字段分别是笔记记录,关键字,内容,这几个字段任何人都可以访问并且储存一个持续性XSS。
成功利用该漏洞,攻击者可以使用户从控制员下载并执行恶意代码,将用户浏览器重定向到一个包含恶意内容的页面,或者做一个假的身份验证弹出,要求用户输入登录信息等。
伴随漏洞而来的利用工具
研究人员同时还声称,攻击者可以盗取储存在身份验证cookies中或者用户代理字符串中的敏感信息。FortiNet的工作人员还指出,这些数据可以通过使用相关的利用工具将用户重定向到一个“恰当”的恶意有效载荷。
此外,由于SharePoint经常是与Windows Active Directory服务同时存在的,攻击者同时还可以获得共享的企业登录凭证,如此来获得公司的整套服务。
微软已经修补这个漏洞(MS15-099)
视频演示
http://v.qq.com/iframe/player.html?vid=n0166ofove3&tiny=0&auto=0
然而,前面说那么多都是没有一点卵用的。
链接:http://pan.baidu.com/s/1i3fbvH7 密码:jndl 学习学习技术,加油! 支持中国红客联盟(ihonker.org) 还是不错的哦,顶了 还是不错的哦,顶了 支持,看起来不错呢! 还是不错的哦,顶了 还是不错的哦,顶了