经典老文(2010-02-27 03:05),Good ……
漏洞成因:
在搜狗浏览器中,window.location和document.write两个函数发生条件竞争阻塞。“window.location”函数使URL中显示到一个地址域,同时页面元素却可以被“document.write”函数所改写。这样导致攻击者可以篡改页面,来实施钓鱼欺骗攻击。
效果图:
POC:
SogouExplorer spoofing
站长评论:
其实这个问题类似于“火狐浏览器中的阻塞问题:https://lcx.cc/post/1673/”,都是因为执行代码的时候没有进行阻塞,这个阻塞功能,有利也有弊。
神马叫阻塞??就是我们俗话说的“同步”还是“异步”执行。
文章来源于lcx.cc:搜狗浏览器“页面欺骗”漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论