当self-xss遇到clickjacking

admin 2021年4月2日19:45:36评论29 views字数 1032阅读3分26秒阅读模式

self-xss遇到clickjacking

D&G | 2014-01-13 10:35

self-xss一般是认为没有危害的。比如http://kuai.xunlei.com/ 这里的搜索栏就存在一个典型的self-xss,输入内容的时候会出现一个提示,而提示里没有做任何过滤。如果要利用的话需要用户自己在搜索框里输入一串xss payload,这个基本不太现实。不过如果结合clickjacking,就变成了用户在一个我们伪装的页面上单击一下鼠标。所说比较鸡肋,但定向攻击越来越精细化,也许某些场景能发挥一定的作用。

[原文地址]

各种吐槽:

1#

0x_Jin (世上人多心不齐) | 2014-01-13 10:38

self-xss 用来做rootkit 很好用啊。。。 长期控制着~

2#

D&G | 2014-01-13 10:41

@0x_Jin 也是哈,看来self-xss也是很多间接利用方式的。

3#

xsser (十根阳具有长短!!) | 2014-01-13 10:53

除非出现像xsser.me这样的工具 技术如果只落到少数牛人手里 其实是没有什么大危害的 主要是牛人一般不缺钱

4#

/fd (/proc) ‫() | 2014-01-13 10:57

能单击就输入是IE only吧

5#

D&G | 2014-01-13 11:01

@xsser 在很多场合都听过你这个观点,我部分赞同。放在这里我是不是可以理解成,哪天出现一个clickjacking的平台,可以一键生成利用exp,附带各种模式惟妙惟肖的伪装,直接给出url,clickjacking也许就会引起各个厂商的重视了。

6#

邪少 | 2014-01-13 12:17

@xsser +1

7#

乌帽子 (中国的黄牛就是多,无处不在啊。乌云也有大量哦) | 2014-01-13 12:47

Mark.. 我是新一的马甲

8#

0x_Jin (世上人多心不齐) | 2014-01-13 14:09

@xsser 短短媳妇都要养不起了。。。。。。

9#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-01-14 08:39

╮(╯_╰)╭

文章来源于lcx.cc:当self-xss遇到clickjacking

相关推荐: 技术讨论:关于盗取支付宝讨论

警告:本文内容仅作技术讨论!严禁用于违法用途!负责后果自负! 关于盗取支付宝讨论 whirlwind | 2013-11-26 00:17 今天地铁八点上面写的西安抓了一些盗取支付宝的人,讨论下 1.有网监公开的思路是,手机软件截取验证短信,做钓鱼窗口。 2.…

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月2日19:45:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   当self-xss遇到clickjackinghttps://cn-sec.com/archives/316662.html

发表评论

匿名网友 填写信息