频道栏目
首页 > 安全 > 系统安全 > 正文

也扯蛋一下IE8这个CSS造成的跨域问题

2010-09-09 10:00:50           
收藏   我要投稿

昨天听说twitter被csrf了,只在IE8下有效,但一直没去深究成因什么的。把链接抛到hi群里后就躲在角落围观黑锅跟pz牛的讨论,过了一会,也就忘了这事了。

今天舒舒给出的这图片,才算明白这个css造成的跨域漏洞POC是怎样的。代码就跟上面的图片一样。

任意这东西简直就是微博杀手(貌似微博之类的程序都不会去转义大括号冒号吧?)
理论上var x=document.body.currentStyle.fontFamily;可以把{}body{font-family:"之后的所有内容存到x中,至于怎么利用,就见仁见智了。是谁在那说读取别人邮件内容来着?

这漏洞看起来确实很弱智。。木有高深的手法木有看不懂的代码。。谁发现的呢?膜拜一个。。

这很明显违反同源策略的跨域的搞笑的东西,为什么别的浏览器都没有唯独IE8有这漏洞呢?甚至IE6都不会出现这个跨域的问题,这是为什么呢?

刺这个写得详细得多了。

相关TAG标签 问题
上一篇:虚拟机检测技术剖析
下一篇:黑客入侵Windows XP常用方法
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站