搜狗浏览器“页面欺骗”漏洞

  • A+
所属分类:lcx

    经典老文(2010-02-27 03:05),Good ……

搜狗浏览器版本:1.4.0.418(正式版)

漏洞成因

    在搜狗浏览器中,window.location和document.write两个函数发生条件竞争阻塞。“window.location”函数使URL中显示到一个地址域,同时页面元素却可以被“document.write”函数所改写。这样导致攻击者可以篡改页面,来实施钓鱼欺骗攻击。

效果图

搜狗浏览器“页面欺骗”漏洞

POC:

SogouExplorer spoofing

test!

站长评论:

    其实这个问题类似于“火狐浏览器中的阻塞问题:https://lcx.cc/post/1673/”,都是因为执行代码的时候没有进行阻塞,这个阻塞功能,有利也有弊。

    神马叫阻塞??就是我们俗话说的“同步”还是“异步”执行。

文章来源于lcx.cc:搜狗浏览器“页面欺骗”漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: