记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

如何通过IE11浏览器跨域窃取CSV文件信息(含演示视频+PoC)

写在前面的话 早在2008年,Chris Evans就发现了通过在<script>标签中添加恶意参数来跨域窃取Firefox数据的可能性。如果你感兴趣的话,你现在仍然可以阅读当初他所发表的那篇研究报告【传送门】。 他曾在报告中解释称: 现代Web模型对远程网站中<script>标签内的数据没有任何的限制。如果目标远程数据没有必要在<script>标签中出现,那么你可能就会面临着跨域数据泄漏的风险。 整个观点的实现使用了JavaScript错误信息和302重定向,一般来说,现代浏览器会使用类似“Script error”这样的通用信息来替代原本复杂的JavaScript错误信息,并以此来防止网站将错误内容泄露给远程域名。但对于同源网站来说,它们是可以读取到详细的Jav
发布时间:2017-05-25 20:30 | 阅读:125330 | 评论:0 | 标签:WEB安全 IE11 窃取

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云