from:http://masatokinugawa.l0.cm/2014/06/referrer-xss-part2.html
在开始第二部分之前,先简短的介绍一下第一部分。在第一部分当中笔者(MK)提到:
#1 由于IE不会对URL中的尖括号进行escape,所以我们可以通过构造这样的页面,来实现referrer XSS
页面地址:http://l0.cm/xss_referrer.html?
#2对于chrome版本
data:text/html,
这里需要注意的是,只有在加上时,data URI才会带有referrer。
在第二部分中,笔者又给我们带来的新的技巧(确认在safari7.0.4下有效)
'); location.href="http://vulnerabledoma.in/location/"
当我们通过history.replaceState在URL的最前面加上blob URI时,发现blob URI并不会对路径以后的部分进行URL编码。但是此时还无法发送referrer。所以这里就需要我们使用上一次的技巧,在页面当中加上,由于referrer会包含的是被我们替换掉的blob URI,且blob URI不会对path之后的部分进行URL编码,所以通过这种方法就可以实现safari下的referrer XSS了。
经测试,通过history.replaceState在URL前面加blob URI的方法,在chrome下也有效(不过不能拿来XSS)。此外chrome下还发现:
javascript:history.replaceState('','','filesystem:http://masatokinugawa.l0.cm/path')
也是可以的。由于对于这种操作要求域名必须是相同的,所以暂时还没有发现会有什么安全隐患。也许这种现象都是浏览器预期的效果吧。
留言评论(旧系统):
文章来源于lcx.cc:基于referrer的XSS的利用 第二部分
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论