经典老文(2010-02-27 03:05),Good ……
漏洞成因:
在搜狗浏览器中,window.location和document.write两个函数发生条件竞争阻塞。“window.location”函数使URL中显示到一个地址域,同时页面元素却可以被“document.write”函数所改写。这样导致攻击者可以篡改页面,来实施钓鱼欺骗攻击。
效果图:
POC:
SogouExplorer spoofing
站长评论:
其实这个问题类似于“火狐浏览器中的阻塞问题:https://lcx.cc/post/1673/”,都是因为执行代码的时候没有进行阻塞,这个阻塞功能,有利也有弊。
神马叫阻塞??就是我们俗话说的“同步”还是“异步”执行。
文章来源于lcx.cc:搜狗浏览器“页面欺骗”漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论