热门合作产品 Zimbra 有 警告顾客 紧急应用软件补丁以弥补其所说的安全漏洞 “可能会影响您数据的机密性和完整性。”
该漏洞就是所谓的 XSS bug,简称 跨站点脚本,通过网站 X 执行看似无辜的操作(例如点击网站 Y),使网站 X 的操作者有机会将流氓 JavaScript 代码植入浏览器从 Y 返回的网页中。
反过来,这意味着 X 最终可能会通过读取甚至可能修改 Y 私有的数据(例如您的帐户详细信息、登录 cookie、身份验证令牌、交易历史记录)来访问您在站点 Y 上的帐户, 等等。
缩写 XSS 是一个自我描述性名称,因为欺诈行为本质上涉及将不受信任的脚本从一个站点推送到另一个站点的其他受信任内容中……
...所有这些都不需要提前侵入其他站点来直接破解其 HTML 文件或 JavaScript 代码。
已修补但未发布
尽管该错误现已在 Zimbra 的代码中进行了修补,并且该公司表示 “它已将此修复应用于 XNUMX 月版本”,它尚未发布该版本。
但事实证明该补丁非常紧急,需要立即使用,因为它是在一个 现实生活中的网络攻击 由谷歌的安全研究员提出。
这使得它成为一个可怕的 零日攻击,这个术语用于指坏人首先发现并保密的安全漏洞。
因此,Zimbra 警告其客户自行手动修复,这需要对产品安装目录中的单个数据文件进行单行编辑。
Zimbra 并没有完全使用 Naked Security 自己的押韵提醒 不要拖延/今天就做,但是公司的技术人员用他们自己的方式说了同样紧迫的话 官方安全公告:
采取行动。 手动应用修复。
我们理解您可能希望尽快采取行动来保护您的数据。
为了保持最高级别的安全性,我们恳请您配合,在您的所有邮箱节点上手动应用修复程序。
XSS 解释
简而言之,XSS 攻击通常涉及欺骗服务器生成网页 可信地包括从外部提交的数据,而不检查数据是否可以安全地直接发送到用户的浏览器。
尽管一开始听起来很奇怪(或不太可能),但请记住,重复或将输入反射回浏览器是完全正常的,例如,当网站想要确认您刚刚输入的数据或报告某个结果时搜索。
例如,如果您正在浏览购物网站,并且想查看他们是否有待售的圣杯,您可能会输入 Holy Grail
进入搜索框,最终可能会通过如下 URL 提交到网站:
https://example.com/search/?product=Holy%20Grail
(网址不能包含空格,因此单词之间的空格字符会被浏览器转换为 %20
,其中 20 是十六进制空格的 ASCII 代码。)
如果您看到返回的页面中重复出现相同的单词,您不会感到惊讶,例如:
您搜索的是: 圣杯 抱歉。 我们没有库存。
现在想象一下,您尝试搜索一种名称奇怪的产品,称为 Holy<br>Grail
相反,只是想看看发生了什么。
如果您返回类似这样的页面...
您搜索的是: 圣杯 抱歉。 我们没有库存。
......而不是你所期望的,即......
您搜索的是: 圣圣杯 抱歉。 我们没有库存。
…然后你会立即知道另一端的服务器对所谓的“特殊”字符不小心,例如 <
(小于号)和 >
(大于号),用于指定 HTML 命令,而不仅仅是 HTML 数据。
HTML 序列 <br>
字面意思并不是“显示文本” 小于号 字母-b 字母-r 大于号”,而是一个 HTML 标签或命令,意思是“在此处插入换行符”。
想要向浏览器发送小于号以在屏幕上打印的服务器需要使用特殊序列 <
反而。 (大于号,正如您可以想象的那样,被编码为 >
.)
当然,这意味着&符号(&
) 也有特殊含义,因此要打印的 & 符号必须编码为 &
,以及双引号 ("
) 和单引号或撇号 ('
).
在现实生活中,跨站点脚本化输出欺骗的问题并不是“大多无害”的 HTML 命令,例如 <br>
,这会破坏页面布局,但危险的 HTML 标签,例如 <script>
,它允许您直接在网页本身中嵌入 JavaScript 代码。
一旦您发现某个网站不支持搜索 <br>
正确地,您的下一次尝试可能是搜索类似的内容 Holy<script>alert('Ooops')</script>Grail
代替。
如果返回的搜索词与您最初发送的搜索词完全相同,则效果将是运行 JavaScript 函数 alert()
并在浏览器中弹出一条消息: Ooops
.
正如你可以想象的那样,骗子们通过尝试发现了如何毒害网站 alert()
弹出窗口很快转而使用新发现的 XSS 漏洞来执行更加狡猾的操作。
这些可能包括检索或修改与您的帐户相关的数据、以您的名义发送消息或授权操作,以及可能获取身份验证 cookie,让犯罪分子自己稍后直接重新登录到您的帐户。
顺便说一句,您需要在 Zimbra 产品目录中应用的单行补丁涉及更改内置 Web 表单中的一项……
...转换为更安全的格式,以便 value
字段(将以文本形式发送到您的浏览器,但从未显示,因此您在访问网站时甚至不知道它的存在)的构造如下:
这个新的行告诉服务器(用 Java 编写)应用具有安全意识的 Java 函数 escapeXml()
的价值 st
场第一。
你可能已经猜到了, escapeXml()
确保任何剩余物 <
, >
, &
, "
和 '
使用正确且抗 XSS 的格式重写文本字符串中的字符 <
, >
, &
, "
和 '
代替。
安全第一!
怎么办呢?
按照 手工修补说明 在 Zimbra 的网站上。
我们假设运行自己的 Zimbra 实例(或付费让其他人代表他们运行)的公司不会发现该补丁在技术上执行起来很复杂,并且会快速创建一个自定义脚本或程序来为他们执行此操作。
只是不要忘记你需要 重复修补过程正如 Zimbra 提醒您的那样, 在所有邮箱节点上.
- :具有
- :是
- :不是
- :在哪里
- $UP
- 1
- 15%
- 20
- 25
- 700
- 8
- a
- 绝对
- ACCESS
- 访问
- 账号管理
- 横过
- 操作
- 行动
- 推进
- 所有类型
- 让
- 沿
- amp
- an
- 和
- 另一个
- 任何
- 应用的
- 使用
- 保健
- AS
- At
- 攻击
- 认证
- 作者
- 汽车
- 远离
- 背部
- 背景图像
- 坏
- BE
- 因为
- 很
- 代表
- 作为
- 之间
- 边界
- 半身裙/裤
- 盒子
- 午休
- 浏览器
- 浏览
- 问题
- 内建的
- 但是
- by
- 被称为
- 来了
- CAN
- Center
- 机会
- 改变
- 字符
- 字符
- 检查
- 关闭
- 码
- 合作
- 颜色
- 公司
- 公司
- 复杂
- 保密
- 确认
- 包含
- 内容
- 转换
- 曲奇饼
- 合作
- 正确
- 套餐
- 外壳
- 创建信息图
- 罪犯
- 好奇
- 习俗
- 合作伙伴
- 危险的
- data
- 详情
- 直接
- 通过各种方式找到
- 屏 显:
- do
- 不会
- 不
- 别
- 效果
- 其他
- 嵌
- 结束
- 更多
- 确保
- 进入
- 本质上
- 甚至
- 例子
- 期望
- 部分
- 文件
- 档
- 找到最适合您的地方
- (名字)
- 固定
- 如下
- 针对
- 申请
- 格式
- 止
- 功能
- 发电
- 给
- 谷歌
- 猜
- 破解
- 民政事务总署
- 手
- 处理
- 发生
- 有
- 高度
- 老旧房屋
- 最高
- 历史
- 举行
- 穿孔
- 孔
- 徘徊
- 创新中心
- How To
- HTML
- HTTPS
- if
- 想像
- 立即
- 影响力故事
- in
- 包括
- 包括
- 输入
- 安装
- 例
- 代替
- 诚信
- 成
- 涉及
- IT
- 它的
- 本身
- 行话
- 爪哇岛
- JavaScript的
- 七月
- 只是
- 保持
- 知道
- 已知
- 后来
- 布局
- 左
- 让
- Level
- 生活
- 喜欢
- Line
- 日志
- 登录
- 保持
- 制作
- 手动
- 余量
- 最大宽度
- 可能..
- 意
- 手段
- 仅仅
- 的话
- 条未读消息
- 可能
- 更多
- 许多
- 姓名
- 需求
- 打印车票
- 需要
- 需要
- 决不要
- 下页
- 节点
- 正常
- 现在
- of
- on
- 一
- 操作
- 运营
- 操作者
- or
- 其他名称
- 除此以外
- 输出
- 产量
- 超过
- 己
- 页
- 网页
- 打补丁
- 修补
- 保罗
- 演出
- 执行
- 也许
- 地方
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 毒药
- 流行的
- 位置
- 帖子
- 可能
- 恰恰
- 打印
- 私立
- 大概
- 市场问题
- 产品
- 曲目
- 正确
- 保护
- 出版
- 推动
- 放
- 很快
- 宁
- 阅读
- 真实
- 现实生活
- 接收
- 相对的
- 相应
- 纪念
- 重复
- 报告
- 请求
- 需要
- 研究员
- 成果
- 右
- 运行
- 安全
- 更安全
- 说
- 盐
- 同
- 说
- 说
- 屏风
- 脚本
- 搜索
- 搜索
- 保安
- 看到
- 提交
- 发送
- 发送
- 序列
- 购物
- 短
- 如图
- 签署
- 迹象
- 单
- 网站
- 偷偷摸摸
- So
- 软件
- 固体
- 有人
- 东西
- 听起来
- 太空
- 剩余名额
- 特别
- 库存
- 串
- 提交
- 这样
- 套房
- 感到惊讶
- SVG的
- Switch 开关
- 行李牌
- 采取
- 技术上
- 告诉
- 术语
- 比
- 这
- 其
- 他们
- 他们自己
- 那里。
- 因此
- 他们
- Free Introduction
- 通过
- 至
- 令牌
- 也有
- 最佳
- 交易
- 过渡
- 透明
- 试用
- 尝试
- 转
- 原来
- 类型
- 理解
- 不会
- 急
- 紧急
- 网址
- 使用
- 用过的
- 运用
- 平时
- 折扣值
- 版本
- 非常
- 通过
- 漏洞
- 想
- 通缉
- 希望
- 警告
- 是
- we
- 卷筒纸
- 您的网站
- 网站
- 为
- 什么是
- ,尤其是
- 这
- 而
- WHO
- 宽度
- 将
- 也完全不需要
- 话
- 将
- 书面
- X
- XSS
- 但
- 完全
- 您一站式解决方案
- 和风网