微软修复SharePoint 2013 XSS漏洞

浮尘 · 发表于 2015-9-22 12:29:36

SharePoint是Microsoft Office套件中的一款工具，可为个人和公司创建门户页面。

该漏洞(CVE-2015-2522)是由FortiNet公司的FortiGuard实验室安全研究人员发现，该漏洞影响到SharePoint 2013 15.0.4571.1502及早前版本。

SharePoint是由微软公司开发的Web应用平台，将各种商业相关管理功能集合在一起的工具集，减轻了系统管理员早前需要从各种软件之间切换的负担。
在大多数真实情况下，SharePoint服务器部署在企业封闭的网络环境中，服务于大中型企业内部网，一度成为微软企业产品之最。提供内容管理，资料管理，个人云，社交网络，搜索，商务智能，工作流程管理等功能。

不恰当的过滤造成XSS缺陷

根据FortiNet的研究人员描述，攻击者可以在几个输入字段中键入恶意代码对微软的SharePoint平台进行XSS攻击。这几个字段分别是笔记记录，关键字，内容，这几个字段任何人都可以访问并且储存一个持续性XSS。

成功利用该漏洞，攻击者可以使用户从控制员下载并执行恶意代码，将用户浏览器重定向到一个包含恶意内容的页面，或者做一个假的身份验证弹出，要求用户输入登录信息等。

伴随漏洞而来的利用工具
研究人员同时还声称，攻击者可以盗取储存在身份验证cookies中或者用户代理字符串中的敏感信息。FortiNet的工作人员还指出，这些数据可以通过使用相关的利用工具将用户重定向到一个“恰当”的恶意有效载荷。

此外，由于SharePoint经常是与Windows Active Directory服务同时存在的，攻击者同时还可以获得共享的企业登录凭证，如此来获得公司的整套服务。

微软已经修补这个漏洞(MS15-099)

视频演示
http://v.qq.com/iframe/player.html?vid=n0166ofove3&tiny=0&auto=0
然而，前面说那么多都是没有一点卵用的。

链接：http://pan.baidu.com/s/1i3fbvH7 密码：jndl

08-wh · 发表于 2015-9-22 12:39:30

学习学习技术，加油！

08-wh · 发表于 2015-9-22 15:19:29

支持中国红客联盟(ihonker.org)

云游者 · 发表于 2015-9-22 22:02:19

还是不错的哦，顶了

borall · 发表于 2015-9-23 09:40:06

还是不错的哦，顶了

xiaoqqf4 · 发表于 2015-9-23 19:38:35

admin1964 · 发表于 2015-9-23 20:33:04

支持，看起来不错呢！

fireworld · 发表于 2015-9-23 21:51:14

还是不错的哦，顶了

Jack-5 · 发表于 2015-9-23 23:16:28

Sty，涛 · 发表于 2015-9-24 01:15:31

还是不错的哦，顶了

微软修复SharePoint 2013 XSS漏洞

指导单位

旗下站点

联系我们