安全漫谈(29)
黑客·安全
网站挂马无处不在Chinaren危机四伏
最近传闻国内最大的校友录社区Chinaren存在可以被挂马(即放置网页木马)的漏洞。由于校友录中班级宣言的设置没有过滤html代码,攻击者可以在班级宣言中插入一个iframe标签,把网页木马嵌入其中,用户只要浏览这个班级的首页,就可能下载网页木马并运行。
漏洞:先注册,然后创建一个班级,进入“班级管理”,接着修改班级宣言,在文本框中写入代码“”,其中的网址是笔者已经设置好的网页木马地址。进行保存后返回首页,这时笔者的杀毒软件开始报警并发现了木马,而班级首页却丝毫没有异样。
观点:作为国内最大的校友录社区,注册用户已突破千万,但安全性却令人担忧,Chinaren处理漏洞的速度也令人不太满意。截稿时,Chinaren的这个漏洞仍然存在,这不禁让我们对Chinaren对用户的负责程度表示怀疑。做为Chinaren校友录的用户,最有效的办法便是及时升级杀毒软件,切勿进入自己不熟悉的校友录班级。