日韩国产欧美爱情电影,都市激情久久久香蕉噜噜噜

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

金山網(wǎng)盾遠(yuǎn)程代碼執(zhí)行漏洞及其它bug

由于金山網(wǎng)盾對惡意地址的處理不嚴(yán)，攻擊者通過構(gòu)造一個普通的掛馬頁面和一個特殊的URL，可以使操作系統(tǒng)執(zhí)行任何命令。

站在用戶的角度思考問題，與客戶深入溝通，找到大廠網(wǎng)站設(shè)計(jì)與大廠網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗(yàn)，讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個性化、用戶體驗(yàn)好的作品，建站類型包括：成都做網(wǎng)站、網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣、國際域名空間、虛擬空間、企業(yè)郵箱。業(yè)務(wù)覆蓋大廠地區(qū)。

受影響的系統(tǒng)：

截至本文發(fā)布起的當(dāng)前最新版本及其之前版本。

細(xì)節(jié)：

金山網(wǎng)盾的惡意提示部分UI是用網(wǎng)頁代碼編寫的，在kwstray.exe得到惡意網(wǎng)址的時候，由于其處理方式的錯誤導(dǎo)致了XSS漏洞，同時利用軟件中實(shí)現(xiàn)的某些功能，可以執(zhí)行任何系統(tǒng)命令。具體分析如下：

在接收到惡意網(wǎng)址后，kwstray.exe采用了如下流程對字符進(jìn)行了過濾處理

惡意網(wǎng)址 ——> HtmlEncode ——> unescape ——> 顯示惡意信息

這個時候，假如攻擊者估計(jì)在網(wǎng)址中包含html標(biāo)簽，那么很可能會導(dǎo)致XSS攻擊。不過由于惡意網(wǎng)址首先進(jìn)行了HtmlEncode處理，直接傳入