今天碰到了类似空间xss的情况,但是分析不出来。
搜索了一下发现知乎上也有人发生相关问题。。。
描述比较详细我就不描述了,贴链接。。。
求分析
http://www.zhihu.com/question/31845257
v2好像也有人发过= = /t/202936
------------------------------------------
1. 首先HTTP GET了一下那条状态的链接(http://http://milpmazy.hhotel.com.cn/blog/3351382536.html?vid=19&media=new&r=0.6491327),得到302 Moved Temporarily(跳转链接为http://http://www.hhotel.com.cn/videos/play.php?vid=19&media=new&r=0.6491327)
2. 继续HTTP GET了一下跳转到的链接,并且研读了一下代码,发现网页的代码比较简单,并未发现什么恶意代码。
3. 鉴于上面的结果,猜测可能是网站的恶意代码有触发条件,并不是任何时候都会有恶意代码。我能想到的最简单的触发条件是,服务器端检查浏览器的User-Agent来决定是否返回带有恶意代码的网页,于是使用手机QQ的UA继续HTTP GET,并没发现得到的内容跟上次有什么区别。
4. 鉴于上面尝试的又一次失败,我开始了对其恶意代码触发条件的研究。结果再次碰壁:由于刚开始点击的那个朋友的那条状态已经删除,我就点击了另一个朋友转发的hhotel的状态,结果发现这一次,我的朋友圈没有被发送垃圾状态。推测结果是,服务器端有针对ip的过滤,只对第一次访问的ip返回恶意代码,或者网站正在调整,恶意代码暂时隐藏。
搜索了一下发现知乎上也有人发生相关问题。。。
描述比较详细我就不描述了,贴链接。。。
求分析
http://www.zhihu.com/question/31845257
v2好像也有人发过= = /t/202936
------------------------------------------
1. 首先HTTP GET了一下那条状态的链接(http://http://milpmazy.hhotel.com.cn/blog/3351382536.html?vid=19&media=new&r=0.6491327),得到302 Moved Temporarily(跳转链接为http://http://www.hhotel.com.cn/videos/play.php?vid=19&media=new&r=0.6491327)
2. 继续HTTP GET了一下跳转到的链接,并且研读了一下代码,发现网页的代码比较简单,并未发现什么恶意代码。
3. 鉴于上面的结果,猜测可能是网站的恶意代码有触发条件,并不是任何时候都会有恶意代码。我能想到的最简单的触发条件是,服务器端检查浏览器的User-Agent来决定是否返回带有恶意代码的网页,于是使用手机QQ的UA继续HTTP GET,并没发现得到的内容跟上次有什么区别。
4. 鉴于上面尝试的又一次失败,我开始了对其恶意代码触发条件的研究。结果再次碰壁:由于刚开始点击的那个朋友的那条状态已经删除,我就点击了另一个朋友转发的hhotel的状态,结果发现这一次,我的朋友圈没有被发送垃圾状态。推测结果是,服务器端有针对ip的过滤,只对第一次访问的ip返回恶意代码,或者网站正在调整,恶意代码暂时隐藏。
Select Language