[-IE-] IE 0-day 漏洞,全版本都受害
ie有洞已經不算新聞了,但是這次的漏洞還蠻有趣的,提出來警示一下
使用這次的漏洞的駭客手法叫做Cookiejacking
這次的漏洞利用了UI redressing的攻擊來偷取cookie
重點是:沒用到 XSS喔~
ie裡有Security Zones,不同的安全層級網站會有不同的限制
例如:<iframe src="file://c:/test.txt"> 這一定會access denied error
但是如果改成cookie的所在位置
<iframe src="file://C:/Users/%user%/AppData/Roaming/Microsoft/Windows/Cookies/%user%@google[1].txt">
咦~竟然賓果囉,這就是這次的漏洞所在。
但是你會說:就算網頁原始碼裡加上這條,你也拿不到使用者資料呀
沒錯,所以要加上一些詐騙手法,讓使用者親手奉上cookie
例如拼圖成功看裸女之類的
示範 https://www.youtube.com/watch?v=V95CX-3JpK0
詳細就不贅述了,想開始動手寫網頁的自行google吧
總結:這次的手法幾乎都有「拖拉移動圖片」,請各位小心。
--
we are so vain that we even care for the opinion of those we don't care for.
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 111.248.162.245
→
05/30 17:13, , 1F
05/30 17:13, 1F
推
05/30 18:23, , 2F
05/30 18:23, 2F
推
05/30 20:55, , 3F
05/30 20:55, 3F
推
05/30 21:41, , 4F
05/30 21:41, 4F
推
05/31 00:41, , 5F
05/31 00:41, 5F
→
05/31 11:20, , 6F
05/31 11:20, 6F
推
05/31 23:06, , 7F
05/31 23:06, 7F
→
06/01 00:01, , 8F
06/01 00:01, 8F
→
06/01 00:01, , 9F
06/01 00:01, 9F
→
06/01 00:05, , 10F
06/01 00:05, 10F
→
06/01 17:45, , 11F
06/01 17:45, 11F
Browsers 近期熱門文章
PTT數位生活區 即時熱門文章
