内容简介:Live tile功能是微软内置于Windows 8操作系统的关键功能之一在Windows 8开始引入,在“开始”屏幕上显示内容和通知,可让用户不断从他们喜爱的应用和网站中提取最新信息。为使网站更容易将其设为Live Tiles内容,Microsoft在单独域的子域上提供了一项功能“ notifications.buildmypinnedsite.com”,管理员可自动将其RSS源转换为特殊的xm然而禁用RSS-to-xm
网络安全专家通过控制Windows Live Tiles,展示了微软Azure云服务中一个未经修补的漏洞利用。
Live tile功能是微软内置于Windows 8操作系统的关键功能之一在Windows 8开始引入,在“开始”屏幕上显示内容和通知,可让用户不断从他们喜爱的应用和网站中提取最新信息。为使网站更容易将其设为Live Tiles内容,Microsoft在单独域的子域上提供了一项功能“ notifications.buildmypinnedsite.com”,管理员可自动将其RSS源转换为特殊的xm
然而禁用RSS-to-xm
对Microsoft子域的间接控制让他可以在Windows Live Tiles上推送各种应用程序或网站上的任意内容或通知。
Böck表示,“使用普通的Azure帐户,我们能够注册该子域、添加相应的主机名,因此我们能够控制在该主机上提供的内容。应删除这些包含元标签的网页,如果想保留这些功能,则应自己创建合适的xm
这种技术通常被称为“ 子域接管”,是一种重要的攻击媒介,通常可通过大多数在线服务允许用户运行具有自定义域名的Web应用程序或博客找到。
例如:当在Azure上创建应用并希望在Internet上使用自定义域名时,该平台会要求用户将其域名服务器指向Azure,然后在其帐户的信息中心使用,而不用验证域的所有权。
因Microsoft Azure没有验证声明域名的帐户是否确实拥有该域名,故任何Azure用户都可认领名称服务器指向云服务、无人认领或无人看管的域名的域名。
谷歌的Blogger服务也存在类似问题,但几年前该公司通过强制各博主为其自定义域设置单独、唯一的TXT记录、进行验证的方式修补了这一问题。
声明:本文来自MottoIN,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- APT攻防之红队入侵:DLL劫持与白利用
- 攻防最前线:黑客可通过耳机配套软件劫持网络流量
- 攻防最前线:利用劫持邮箱回复邮件去传播URSNIF银行木马
- 攻防系统之攻防环境介绍&搭建
- 可导致数百万玩家帐户被劫持:EA游戏帐户劫持漏洞分析
- 浅谈jsonp劫持
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
SSA:用户搜索心理与行为分析
[美] 罗森菲尔德(Louis Rosenfeld) / 汤海、蔡复青 / 清华大学出版社 / 2014-4-1 / 59.00
何为站内搜索分析(SSA)?它如何帮助你挖掘用户搜索曰志,从中洞悉用户搜索心理和行为,从而有针对性地改善用户体验,提升网站价值?这些都可以从《SSA:用户搜索心理与行为分析》中找到答案。《SSA:用户搜索心理与行为分析》首先通过故事来说明SSA是如何使Vanguard集团起死回生的,简要介绍SSA并指导读者动手实践。其次,通过丰富的实例来介绍很多工具和方法,帮助读者着手分析用户查询数据,从中获得更......一起来看看 《SSA:用户搜索心理与行为分析》 这本书的介绍吧!