来源:Loveshell
恩,太多了…..以前的关于xsrf和portscan的就无声的忽略吧..昨天看到一个很有意思
<script>
var winrar=new Image();
winrar.src = "res://C://Program%20Files//WinRAR//WinRAR.exe/#2/101";
if (winrar.height != 30)
{
document.write("winrar");
}
winrar='';
</script>
嘿,能探测出装的软件哪…不错吧,如果是杀毒呢?顺便说下res协议,好象是ie里用来定位资源的,譬如可以定位到某个exe文件里的某个资源,用exescope就可以分析.img的src是无域的限制的,src属性的好象都没限制……但是ff好象有点不一样- -!
另外一个就是在渗透时的作用,很多的email是支持多媒体或者说是html的,但是肯定script这些不会支持(譬如我的foxmail有script或者iframe或者事件都不解析),但是他们解析img标签啊….如果我们将src指到我们的地址就可以收集对方的信息了….useragent?os?path?mail client?loginname?…..还是这个人的使用习惯
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论