日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

由于金山網(wǎng)盾對惡意地址的處理不嚴，攻擊者通過構造一個普通的掛馬頁面和一個特殊的URL，可以使操作系統(tǒng)執(zhí)行任何命令。

站在用戶的角度思考問題，與客戶深入溝通，找到大廠網(wǎng)站設計與大廠網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗，讓設計與互聯(lián)網(wǎng)技術結合，創(chuàng)造個性化、用戶體驗好的作品，建站類型包括：成都做網(wǎng)站、網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣、國際域名空間、虛擬空間、企業(yè)郵箱。業(yè)務覆蓋大廠地區(qū)。

受影響的系統(tǒng)：

截至本文發(fā)布起的當前最新版本及其之前版本。

細節(jié)：

金山網(wǎng)盾的惡意提示部分UI是用網(wǎng)頁代碼編寫的，在kwstray.exe得到惡意網(wǎng)址的時候，由于其處理方式的錯誤導致了XSS漏洞，同時利用軟件中實現(xiàn)的某些功能，可以執(zhí)行任何系統(tǒng)命令。具體分析如下：

在接收到惡意網(wǎng)址后，kwstray.exe采用了如下流程對字符進行了過濾處理

惡意網(wǎng)址 ——> HtmlEncode ——> unescape ——> 顯示惡意信息

這個時候，假如攻擊者估計在網(wǎng)址中包含html標簽，那么很可能會導致XSS攻擊。不過由于惡意網(wǎng)址首先進行了HtmlEncode處理，直接傳入