查看: 120168|回复: 479

微软修复SharePoint 2013 XSS漏洞

[复制链接]
  • TA的每日心情
    慵懒
    2024-12-2 09:11
  • 签到天数: 919 天

    [LV.10]以坛为家III

    发表于 2015-9-22 12:29:36 | 显示全部楼层 |阅读模式
    14428886007098.jpg
    SharePoint是Microsoft Office套件中的一款工具,可为个人和公司创建门户页面。

    该漏洞(CVE-2015-2522)是由FortiNet公司的FortiGuard实验室安全研究人员发现,该漏洞影响到SharePoint 2013 15.0.4571.1502及早前版本。

    SharePoint是由微软公司开发的Web应用平台,将各种商业相关管理功能集合在一起的工具集,减轻了系统管理员早前需要从各种软件之间切换的负担。
    在大多数真实情况下,SharePoint服务器部署在企业封闭的网络环境中,服务于大中型企业内部网,一度成为微软企业产品之最。提供内容管理,资料管理,个人云,社交网络,搜索,商务智能,工作流程管理等功能。

    不恰当的过滤造成XSS缺陷

    根据FortiNet的研究人员描述,攻击者可以在几个输入字段中键入恶意代码对微软的SharePoint平台进行XSS攻击。这几个字段分别是笔记记录,关键字,内容,这几个字段任何人都可以访问并且储存一个持续性XSS。

    成功利用该漏洞,攻击者可以使用户从控制员下载并执行恶意代码,将用户浏览器重定向到一个包含恶意内容的页面,或者做一个假的身份验证弹出,要求用户输入登录信息等。

    伴随漏洞而来的利用工具
    研究人员同时还声称,攻击者可以盗取储存在身份验证cookies中或者用户代理字符串中的敏感信息。FortiNet的工作人员还指出,这些数据可以通过使用相关的利用工具将用户重定向到一个“恰当”的恶意有效载荷。

    此外,由于SharePoint经常是与Windows Active Directory服务同时存在的,攻击者同时还可以获得共享的企业登录凭证,如此来获得公司的整套服务。

    微软已经修补这个漏洞(MS15-099)

    视频演示
    http://v.qq.com/iframe/player.html?vid=n0166ofove3&tiny=0&auto=0
    然而,前面说那么多都是没有一点卵用的。

    链接:http://pan.baidu.com/s/1i3fbvH7 密码:jndl
    回复

    使用道具 举报

    该用户从未签到

    发表于 2015-9-22 12:39:30 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-22 15:19:29 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-22 22:02:19 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-23 09:40:06 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2019-2-12 22:05
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2015-9-23 19:38:35 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-23 20:33:04 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-23 21:51:14 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-23 23:16:28 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-24 01:15:31 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-19 03:55 , Processed in 0.031966 second(s), 13 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部