本文目录一览:
方正奇迹1.02Q
方正奇迹1.02Q
帖子标题:
方正奇迹1.02Q
帖子内容:
现象:
历史操作:没有就是卸载不了就是卸载不了就是卸载不了就是卸载不了
备注: 就是卸载不了
我的诊断报告:
各位高手:
非常感谢您留心我这份系统诊断报告,小菜鸟十万火急等待您的帮助!
该诊断报告由360安全卫士提供
诊断时间: 2007-07-11 12:34:03
诊断平台: Windows Vista (TM) Home Premium
IE版本: Internet Explorer V7.0.6000.16473 Build:76000
计算机物理内存:509.87MB - 当前可用内存:153.96MB
100 - 未知 - Process: lsm.exe [本地会话管理器服务] -
100 - 未知 - Process: audiodg.exe [] -
100 - 未知 - Process: ccSvcHst.exe [Symantec Service Framework] -
100 - 未知 - Process: AppSvc32.exe [Symantec Application Core Service] -
100 - 未知 - Process: SearchIndexer.exe [Microsoft Windows Search Indexer] -
100 - 未知 - Process: mscorsvw.exe [.NET Runtime Optimization Service] -
100 - 未知 - Process: hpsysdrv.exe [hpsysdrv] -
100 - 未知 - Process: wpcumi.exe [Windows 家长控制通知] -
100 - 未知 - Process: wmpnscfg.exe [Windows Media Player 网络共享服务配置应用程序] -
100 - 未知 - Process: HP Connections.exe [HP Connections] -
100 - 未知 - Process: QQMusic.exe [QQ音乐7.1] -
100 - 未知 - Process: SearchProtocolHost.exe [Microsoft Windows Search Protocol Host] -
100 - 未知 - Process: SearchFilterHost.exe [Microsoft Windows Search Filter Host] -
O2 - 未知 - BHO: (浏览器辅助对象(BHO)) - [NcoBHO] - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O3 - 未知 - Toolbar: (显示 Norton 工具栏) - [UIBhoImpl] - {90222687-F593-4738-B738-FBEE9C7B26DF} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - 未知 - HKLM\..\Run: [Windows Defender] [] C:\Program Files\Windows Defender\MSASCui.exe -hide
O4 - 未知 - HKLM\..\Run: [osCheck] [osCheck] "c:\Program Files\Norton Internet Security\osCheck.exe"
O4 - 未知 - HKLM\..\Run: [NvSvc] [NVIDIA Driver Helper Service, Version 97.52] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - 未知 - HKLM\..\Run: [WPCUMI] [Windows 家长控制通知] C:\Windows\system32\WpcUmi.exe
O4 - 未知 - HKCU\..\Run: [ehTray.exe] [Media Center Tray Applet] C:\Windows\ehome\ehTray.exe
O4 - 未知 - HKCU\..\Run: [WMPNSCFG] [Windows Media Player 网络共享服务配置应用程序] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - 未知 - Startup folder: [HP 连接.lnk] [] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HP 连接.lnk
O8 - 未知 - Extra context menu item: 使用Web迅雷下载 - F:\迅雷\GetUrl.htm
O8 - 未知 - Extra context menu item: 使用Web迅雷下载全部链接 - F:\迅雷\GetAllUrl.htm
O8 - 未知 - Extra context menu item: 收藏到QQ书签 -
O8 - 未知 - Extra context menu item: 添加到QQ表情 - F:\qq\AddEmotion.htm
O9 - 未知 - Extra button: 启动Web迅雷(HKLM) -
O23 - 未知 - Service: ccEvtMgr [Event propagation and logging service] - "c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon - (running)
O23 - 未知 - Service: ccSetMgr [Settings storage and management service] - "c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon - (running)
O23 - 未知 - Service: CLTNetCnService [Symantec Lic NetConnect Service] - "c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon - (running)
O23 - 未知 - Service: comHost [COM aggregation host service] - "c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe" - (not running)
O23 - 未知 - Service: DPS [@%systemroot%\system32\dps.dll,-501] - C:\Windows\system32\dps.dll - (error)
O23 - 未知 - Service: ehRecvr [@%SystemRoot%\ehome\ehrecvr.exe,-102] - C:\Windows\ehome\ehRecvr.exe - (not running)
O23 - 未知 - Service: ehSched [@%SystemRoot%\ehome\ehsched.exe,-102] - C:\Windows\ehome\ehsched.exe - (not running)
O23 - 未知 - Service: ehstart [@%SystemRoot%\ehome\ehstart.dll,-102] - C:\Windows\ehome\ehstart.dll - (not running)
O23 - 未知 - Service: Eventlog [@%SystemRoot%\system32\wevtsvc.dll,-201] - C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted - (running)
O23 - 未知 - Service: idsvc [@%systemroot%\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\ServiceModelInstallRC.dll,-8192] - "C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe" - (error)
O23 - 未知 - Service: ISPwdSvc [用户帐户管理服务] - "c:\Program Files\Norton Internet Security\isPwdSvc.exe" - (not running)
O23 - 未知 - Service: LiveUpdate [LiveUpdate 核心引擎] - "C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE" - (not running)
O23 - 未知 - Service: Mcx2Svc [@%SystemRoot%\ehome\ehres.dll,-15502] - C:\Windows\system32\Mcx2Svc.dll - (not running)
O23 - 未知 - Service: MSiSCSI [@%SystemRoot%\system32\iscsidsc.dll,-5001] - C:\Windows\system32\iscsiexe.dll - (not running)
O23 - 未知 - Service: msiserver [@%SystemRoot%\system32\msimsg.dll,-32] - C:\Windows\system32\msiexec /V - (not running)
O23 - 未知 - Service: NetTcpPortSharing [@%systemroot%\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\ServiceModelInstallRC.dll,-8200] - "C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe" - (not running)
O23 - 未知 - Service: nsi [@%SystemRoot%\system32\nsisvc.dll,-201] - C:\Windows\system32\nsisvc.dll - (running)
O23 - 未知 - Service: pla [@%systemroot%\system32\pla.dll,-501] - C:\Windows\system32\pla.dll - (not running)
O23 - 未知 - Service: PolicyAgent [@%SystemRoot%\system32\polstore.dll,-5011] - C:\Windows\System32\ipsecsvc.dll - (not running)
O23 - 未知 - Service: SCardSvr [@%SystemRoot%\System32\SCardSvr.dll,-5] - C:\Windows\System32\SCardSvr.dll - (error)
O23 - 未知 - Service: stllssvr [stllssvr] - "c:\Program Files\Common Files\SureThing Shared\stllssvr.exe" - (not running)
O23 - 未知 - Service: SymAppCore [Symantec Application Service] - "c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe" - (running)
O23 - 未知 - Service: WPCSvc [@%SystemRoot%\system32\wpcsvc.dll,-101] - C:\Windows\System32\wpcsvc.dll - (running)
O23 - 未知 - Service: wuauserv [@%systemroot%\system32\wuaueng.dll,-106] - C:\Windows\system32\wuaueng.dll - (running)
O23 - 未知 - Service: 自动 LiveUpdate 调度程序 [管理对自动 LiveUpdate 会话的调度] - "C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe" - (running)
=======================================
100 - 安全 - Process: smss.exe [进程为会话管理子系统用以初始化系统变量,ms-dos驱动名称类似lpt1以及com,调用win32壳子系统和运行在windows登陆过程。] -
100 - 安全 - Process: csrss.exe [客户端服务子系统,用以控制windows图形相关子系统。] -
100 - 安全 - Process: csrss.exe [客户端服务子系统,用以控制windows图形相关子系统。] -
100 - 安全 - Process: wininit.exe [Windows启动应用程序。] -
100 - 安全 - Process: services.exe [用于管理windows服务系统进程。] -
100 - 安全 - Process: winlogon.exe [windows nt用户登陆程序。] -
100 - 安全 - Process: lsass.exe [本地安全权限服务控制windows安全机制。] -
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] -
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] -
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] -
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] -
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] -
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] -
100 - 安全 - Process: SLsvc.exe [微软软件授权服务。] -
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] -
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] -
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] -
100 - 安全 - Process: LSSrvc.exe [一款名为LightScribe(光雕技术)的刻录机,可以在光盘上光雕个性化图案。] -
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] -
100 - 安全 - Process: ALUSchedulerSvc.exe [赛门铁克出品的防病毒软件。] -
100 - 安全 - Process: taskeng.exe [Windows任务计划程序引擎。] -
100 - 安全 - Process: taskeng.exe [Windows任务计划程序引擎。] -
100 - 安全 - Process: dwm.exe [Windows桌面窗口管理器。] -
100 - 安全 - Process: explorer.exe [windows program manager或者windows explorer用于控制windows图形shell,包括开始菜单、任务栏,桌面和文件管理。] -
100 - 安全 - Process: MSASCui.exe [微软反间谍软件windows defender的程序。 ] -
100 - 安全 - Process: hpwuSchd2.exe [惠普公司出品的相关产品的更新升级程序。] -
100 - 安全 - Process: ccApp.exe [symantec公用应用客户端包含在norton antivirus 2003和norton personal firewall 2003。] -
100 - 安全 - Process: 360tray.exe [360安全卫士实时保护模块] -
100 - 安全 - Process: ehtray.exe [微软出品的winxp媒体中心软件的相关程序。] -
100 - 安全 - Process: ehmsas.exe [微软出品的winxp媒体中心软件的相关程序。] -
100 - 安全 - Process: rundll32.exe [windows rundll32为了需要调用dlls的程序。] -
100 - 安全 - Process: kbd.exe [惠普公司出品的相关软件。] -
100 - 安全 - Process: symlcsvc.exe [赛门铁克公司软件产品的一部分。] -
100 - 安全 - Process: ieuser.exe [Internet Explorer7用户权限代理程序。] -
100 - 安全 - Process: 360Safe.exe [360安全卫士] -
R0 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page=
R0 - 安全 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=
R0 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=
R1 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=C:\Windows\system32\blank.htm
R1 - 安全 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\Windows\system32\blank.htm
O2 - 安全 - BHO: (WebThunder Browser Helper) - [Web迅雷, 支持多资源超线程技术的下载工具。] - {00000AAA-A363-466E-BEF5-9BB68697AA7F} - F:\迅雷\WebThunderBHO_Now.dll
O2 - 安全 - BHO: (Adobe PDF Reader Link Helper) - [Adobe Reader, 查看和打印 Adobe 便携文档格式 (PDF) 文件。] - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - 安全 - HKLM\..\Run: [hpsysdrv] [hp公司软件。] c:\hp\support\hpsysdrv.exe
O4 - 安全 - HKLM\..\Run: [KBD] [惠普出品的相关软件。] C:\HP\KBD\KbdStub.EXE
O4 - 安全 - HKLM\..\Run: [HP Software Update] [惠普软件升级程序。] c:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - 安全 - HKLM\..\Run: [ccApp] [诺顿杀毒或诺顿防火墙客户端软件] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - 安全 - HKLM\..\Run: [360Safetray] [360safe实时保护功能模块。] F:\360安全卫士\360safe\safemon\360tray.exe /start
O4 - 安全 - HKLM\..\Run: [NvCplDaemon] [是NVIDIA显示卡相关动态链接库文件。] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - 安全 - HKLM\..\Run: [NvMediaCenter] [是NVidia显示卡相关文件。] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - 安全 - Startup folder: [Adobe Reader Speed Launch.lnk] [adobe公司出品的pdf处理软件的相关程序。] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader Speed Launch.lnk
O8 - 安全 - Extra context menu item: 导出到 Microsoft Office Excel(X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O11 - 安全 - Options Group: International*
O18 - 安全 - Protocol: OFFICE 相关 - {807553E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
O23 - 安全 - Service: LightScribeService [一个来自dvd刻录机\\\"光雕\\\"软件的相关程序,通过用户许可协议安装。] - "c:\Program Files\Common Files\LightScribe\LSSrvc.exe" - (running)
O23 - 安全 - Service: SNMPTRAP [微软Microsoft Windows操作系统相关程序,用于监听简单网络管理协议SNMP的消息。] - C:\Windows\System32\snmptrap.exe - (not running)
O23 - 安全 - Service: Symantec Core LC [诺顿2006相关服务] - "C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe" - (running)
O25 - 安全 - ABOUT: DesktopItemNavigationFailure - res://ieframe.dll/navcancl.htm
O25 - 安全 - ABOUT: NavigationCanceled - res://ieframe.dll/navcancl.htm
O25 - 安全 - ABOUT: NavigationFailure - res://ieframe.dll/navcancl.htm
O25 - 安全 - ABOUT: OfflineInformation - res://ieframe.dll/offcancl.htm
O25 - 安全 - ABOUT: PostNotCached - res://ieframe.dll/repost.htm
=======================================
O31 - 未知 - Other Autoruns: Kmode - \SystemRoot\System32\win32k.sys - - - - 0 -
O31 - 未知 - Other Autoruns: - C:\Windows\Explorer.exe /separate,/e - - - - 0 -
O31 - 未知 - Folder Menu: {F9DB5320-233E-11D1-9F84-707F02C10627} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll - Adobe Systems, Inc. - PDF Shell Extension - 7.0.0.0 - 110592 - 4b0991cd076b617a2231b19a6663c1c9
O31 - 未知 - SEApproved: {00020d75-0000-0000-c000-000000000046} - - - - - 0 -
O31 - 未知 - SEApproved: {b2c761c6-29bc-4f19-9251-e6195265baf1} - - - - - 0 -
O31 - 未知 - SEApproved: {7A979262-40CE-46ff-AEEE-7884AC3B6136} - - - - - 0 -
O31 - 未知 - SEApproved: {3e7efb4c-faf1-453d-89eb-56026875ef90} - - - - - 0 -
O31 - 未知 - SEApproved: {0DF44EAA-FF21-4412-828E-260A8728E7F1} - - - - - 0 -
O31 - 未知 - SEApproved: 无效的CLSID:ActiveDirectory Folder - - - - - 0 -
O31 - 未知 - SEApproved: 无效的CLSID:ActiveDirectory Folder - - - - - 0 -
O31 - 未知 - SEApproved: 无效的CLSID:Sam Account Folder - - - - - 0 -
O31 - 未知 - SEApproved: 无效的CLSID:Sam Account Folder - - - - - 0 -
O31 - 未知 - SEApproved: {5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0} - - - - - 0 -
O31 - 未知 - SEApproved: {E44E5D18-0652-4508-A4E2-8A090067BCB0} - - - - - 0 -
O31 - 未知 - SEApproved: {6dfd7c5c-2451-11d3-a299-00c04f8ef6af} - - - - - 0 -
O31 - 未知 - SEApproved: 无效的CLSID:Explorer Query Band - - - - - 0 -
O31 - 未知 - SEApproved: {38a98528-6cbf-4ca9-8dc0-b1e1d10f7b1b} - - - - - 0 -
O31 - 未知 - SEApproved: 无效的CLSID:Contacts folder - - - - - 0 -
O31 - 未知 - SEApproved: {4026492f-2f69-46b8-b9bf-5654fc07e423} - - - - - 0 -
O31 - 未知 - SEApproved: {fcfeecae-ee1b-4849-ae50-685dcf7717ec} - - - - - 0 -
O31 - 未知 - SEApproved: {a304259d-52b8-4526-8b1a-a1d6cecc8243} - - - - - 0 -
O31 - 未知 - SEApproved: 无效的CLSID:.cab or .zip files - - - - - 0 -
O31 - 未知 - SEApproved: 无效的CLSID:Windows Search Shell Service - - - - - 0 -
O31 - 未知 - SEApproved: {d3e34b21-9d75-101a-8c3d-00aa001a1652} - - - - - 0 -
O31 - 未知 - SEApproved: {00f2886f-cd64-4fc9-8ec5-30ef6cdbe8c3} - - - - - 0 -
O31 - 未知 - SEApproved: {9D687A4C-1404-41ef-A089-883B6FBECDE6} - - - - - 0 -
O31 - 未知 - SEApproved: {37efd44d-ef8d-41b1-940d-96973a50e9e0} - - - - - 0 -
O31 - 未知 - SEApproved: {67718415-c450-4f3c-bf8a-b487642dc39b} - - - - - 0 -
O31 - 未知 - SEApproved: {d8559eb9-20c0-410e-beda-7ed416aecc2a} - - - - - 0 -
O31 - 未知 - SEApproved: {5ea4f148-308c-46d7-98a9-49041b1dd468} - - - - - 0 -
O31 - 未知 - SEApproved: {031EE060-67BC-460d-8847-E4A7C5E45A27} - - - - - 0 -
O31 - 未知 - SEApproved: {7dda204b-2097-47c9-8323-c40bb840ae44} - - - - - 0 -
O31 - 未知 - SEApproved: {7A9D77BD-5403-11d2-8785-2E0420524153} - - - - - 0 -
O31 - 未知 - SEApproved: {7F67036B-66F1-411A-AD85-759FB9C5B0DB} - C:\Windows\System32\ShellvRTF.dll - XSS - ShellvRTF - 1.1.0.5 - 237568 - 91fa8d1db1ec243cecd4a0977c91cc6f
O31 - 未知 - SEApproved: {B41DB860-8EE4-11D2-9906-E49FADC173CA} - F:\winrar\rarext.dll - - - - 128512 - 8f52066a5cab69ef0c7786e909689a49
O31 - 未知 - Directory Menu: {B41DB860-8EE4-11D2-9906-E49FADC173CA} - F:\winrar\rarext.dll - - - - 128512 - 8f52066a5cab69ef0c7786e909689a49
O31 - 未知 - LSA: Security Packages - sv1_0.dll - - - - 0 -
O31 - 未知 - LSA: Security Packages - channel.dll - - - - 0 -
O31 - 未知 - LSA: Security Packages - digest.dll - - - - 0 -
O31 - 未知 - LSA: Security Packages - spkg.dll - - - - 0 -
=======================================
O40 - Explorer.EXE - Microsoft Corporation - C:\Windows\system32\MSVCR71.dll - Microsoft? C Runtime Library - 86f1895ae8c5e8b17d99ece768a70732
O40 - Explorer.EXE - Microsoft Corporation - C:\Windows\system32\MSVCP71.dll - Microsoft? C++ Runtime Library - 561fa2abb31dfa8fab762145f81667c2
=======================================
O41 - PxHelp20 - Px Engine Device Driver for Windows 2000/XP - C:\WINDOWS\System32\drivers\pxhelp20.sys - (running) - Px Engine Device Driver for Windows 2000/XP - Sonic Solutions - feffcfdc528764a04c8ed63d5fa6e711
O41 - npkcrypt - npkcrypt - C:\Windows\system32\npkcrypt.sys - (not running) - - -
O41 - npkycryp - npkycryp - C:\Windows\system32\npkycryp.sys - (not running) - - -
=======================================
360Safe.exe=3.5.2.1003
AntiAdwa.dll=3.5.1.1001
AntiEng.dll=3.5.2.1002
AntiActi.dll=2.0.0.3000
CleanHis.dll=3.0.2.1000
live.dll=1.0.1.1017
=======================================
操作历史报告:
----------清理恶评及系统插件历史----------
2007-07-05 21:47
清理恶评软件 - Google工具栏 -
2007-07-05 14:57
清理好评插件 - 中文搜搜 - C:\Program Files\TENCENT\Adplus
清理好评插件 - Google工具栏 - c:\PROGRA~1\google\GOOGLE~2.DLL
2007-07-05 14:58
清理好评插件 - Google工具栏 - c:\PROGRA~1\google\GOOGLE~2.DLL
2007-07-08 23:35
清理好评插件 - 新浪UC -
清理好评插件 - 超级旋风下载组件 -
2007-07-10 21:44
清理好评插件 - 我要地图 桌面版 - C:\Windows\51DITU.INI
----------修复IE浏览器操作历史----------
2007-07-06 00:30
R0 - 危险 - IE首页 - HKCU\Software\Microsoft\Internet Explorer\Main
2007-07-06 17:37
R0 - 危险 - IE首页 - HKCU\Software\Microsoft\Internet Explorer\Main
=======================================
360安全卫士,彻底查杀各种流氓软件,全面保护系统安全,并赠送正版卡巴斯基V6.0
最新免费下载:
xss注入漏洞产生的原因?xss注入过程步骤是什么?防范xss注入的方法有哪些
对于的用户输入中出现XSS漏洞的问题,主要是由于开发人员对XSS了解不足,安全的意识不够造成的。现在让我们来普及一下XSS的一些常识,以后在开发的时候,每当有用户输入的内容时,都要加倍小心。请记住两条原则:过滤输入和转义输出。
一、什么是XSS
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。
在WEB2.0时代,强调的是互动,使得用户输入信息的机会大增,在这个情况下,我们作为开发者,在开发的时候,要提高警惕。
二、XSS攻击的主要途径
XSS攻击方法只是利用HTML的属性,作各种的尝试,找出注入的方法。现在对三种主要方式进行分析。
第一种:对普通的用户输入,页面原样内容输出。
打开(限公司IP),输 入:scriptalert(‘xss’)/script, JS脚本顺利执行。当攻击者找到这种方法后,就可以传播这种链接格式的链接 ()如:http: //go.ent.163.com/goproducttest/test.jsp?key=scriptalert(‘xss’) lt;/script,并对JSCODE做适当伪装,如:
%74%3e%61%6c%65%72%74%28%27%78%73%73%27%29%3c%2f%73%63%72%69%70%74%3e,当其 它用户当点此链接的时候,JS就运行了,造成的后果会很严重,如跳去一个有木马的页面、取得登陆用户的COOKIE等。
第二种:在代码区里有用户输入的内容
原则就是,代码区中,绝对不应含有用户输入的东西。
第三种:允许用户输入HTML标签的页面。
用户可以提交一些自定义的HTML代码,这种情况是最危险的。因为,IE浏览器默认采用的是UNICODE编码,HTML编码可以用ASCII方式来写,又可以使用”/”连接16进制字符串来写,使得过滤变得异常复杂,如下面的四个例子,都可以在IE中运行。
1,直接使用JS脚本。
img src=”javascript:alert(‘xss’)” /
2,对JS脚本进行转码。
img src=”javascript:alert(‘xss’)” /
3,利用标签的触发条件插入代码并进行转码。
img onerror=”alert(‘xss’)” /
4,使用16进制来写(可以在傲游中运行)
img STYLE=”background-image: /75/72/6c/28/6a/61/76/61/73/63/72/69/70/74/3a/61/6c/65/72/74/28/27/58/53/53/27/29/29″
以上写法等于img STYLE=”background-image: url(javascript:alert(‘XSS’))”
三、XSS攻击解决办法
请记住两条原则:过滤输入和转义输出。
具体执行的方式有以下几点:
第一、在输入方面对所有用户提交内容进行可靠的输入验证,提交内容包括URL、查询关键字、http头、post数据等
第二、在输出方面,在用户输内容中使用XMP标签。标签内的内容不会解释,直接显示。
第三、严格执行字符输入字数控制。
四、在脚本执行区中,应绝无用户输入。
什么是XSS攻击
什么是XSS攻击XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性。而本文主要讲的是利用XSS得到目标服务器的shell。技术虽然是老技术,但是其思路希望对大家有帮助。 [编辑本段]如何寻找XSS漏洞就个人而言,我把XSS攻击分成两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。另一类则是来来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开。
然后利用下面的技术得到一个shell. [编辑本段]如何利用传统的跨站利用方式一般都是攻击者先构造一个跨站网页,然后在另一空间里放一个收集cookie的页面,接着结合其它技术让用户打开跨站页面以盗取用户的cookie,以便进一步的攻击。个人认为这种方式太过于落后,对于弊端大家可能都知道,因为即便你收集到了cookie你也未必能进一步渗透进去,多数的cookie里面的密码都是经过加密的,如果想要cookie欺骗的话,同样也要受到其它的条件的限约。而本文提出的另一种思路,则从一定程度上解决上述的问题。对于个人而言,比较成熟的方法是通过跨站构造一个表单,表单的内容则为利用程序的备份功能或者加管理员等功能得到一个高权限。下面我将详细的介绍这种技术。 [编辑本段]来自内部的跨站攻击寻找跨站漏洞
如果有代码的话比较好办,我们主要看代码里对用户输入的地方和变量有没有做长度和对”〈”,”〉”,”;”,”’”等字符是否做过滤。还有要注意的是对于标签的闭合,像测试QQ群跨站漏洞的时候,你在标题处输入〈script〉alert(‘test’)〈/script〉,代码是不会被执行的,因为在源代码里,有其它的标签未闭合,如少了一个〈/script〉,这个时候,你只要闭合一个〈/script〉,代码就会执行,如:你在标题处输入〈/script〉〈script〉alert(‘test’)〈/script〉,这样就可以弹出一个test的框。
如何利用
我先以BBSXP为例,过程已做成动画,详情可见光盘中的动画。我举BBSXP中其中两个比较好用的跨站漏洞点为例.
a.先注册一个普通用户,我这里注册的用户是linzi.然后我们在个人签名里写入:
c.然后发个贴子,可以结合其它技术欺骗管理员浏览发的贴子。
d.因为是测试,所以我们以管理员身份登陆,然后打开贴子,我们会发现,linzi已经变成了社区区长工,如图一所示
除此之外我们只要在个人签名里输入
同样发个贴子等,只要管理员打开了,就会加了一个扩展名为asp (有空格)的上传扩展,这个时候,你只要上传一个newmm.asp (有空格)就可以得到一个shell.
上面的攻击多多少少有点局限性,虽然可以得到shell,但是隐蔽性不太好,因为签名
处受到了长度的限制,不能超过255个字符。我们可以结合flash跨站实现更为隐蔽的
攻击,对于flash木马的制作,下面见哥们丰初的介绍。
再利用如下:
修改一下个人头像的url,输入代码如下:
再接着欺骗管理员打开你的资料或者浏览你的贴子,当管理员打开后,会在后台自动加个php扩展名的后辍,因为bbsxp在个人头像url里过滤了空格,%,所以我们只能加个不包括空格的其它扩展,当然你也可以加个shtml的扩展,有了它你就可以用来查看源代码,然后进一步攻击。 [编辑本段]来自外部的跨站攻击有的时候,当我们对于目标程序找不到可以利用的跨站点,这个时候我们可以利用可以从外部入手,利用我们要拿下的是它的论坛,论坛的安全性做的很好,但其留言板却存在跨站漏洞,这个时候我们可以在留言板里写入跨站语句,跨站语句为以表单的方式向论坛提交提升权限的语句,如上面的bbsxp加asp 扩展的语句。当然我们可利用后台的备份功能直接得到一个shell。
例:先上传一个文件linzi.txt,内容如下:
〈body onload="javascript:document.forms[0].submit()"〉〈form
action=" " method="post"〉〈input value="database/bbsxp.mdb" name="yl" 〉〈input value="database/shit.asp" name="bf" 〉〈/body〉〈/html〉
上面的代码是把论坛的数据库备份为shit.asp,留言板存在跨站点如下:
我们构造备份跨站语句如下:
或者构造跨站语句,利用iframe打开一个0大小的linzi.txt。
当管理员打开后,会自动备份得到一个shell. [编辑本段]XSS与其它技术的结合从上面的实例,我们可以知道,如何欺骗管理打开是一个很重要的步骤,对于欺骗打开,除了社会工程学外,我们可以结合其它的技术,如sql injection.当我们渗透一个网站之时,主站mssql注入漏洞,权限为public,这个时候我们利用update构造跨站语句,如用iframe打开一个上面的备份得到shell的跨站语句等,同样,我们可以在社会工程学时,利用QQ的其它跨站漏洞等等。
总是对于欺骗也是一门艺术,具体怎么利用,大家就发挥自己的想象力吧!
好一个欺骗也是一门艺术,不管是在生活中还是在网络中。生活中难免有些事情不能讲真话,这时采用适当的方法使得我们的假话当作真话讲,这就靠欺骗的艺术了。