您现在的位置是:网站首页> 编程资料编程资料
傲游浏览器命令执行漏洞介绍以及修复方案_漏洞分析_网络安全_
2023-05-24
294人已围观
简介 傲游浏览器命令执行漏洞介绍以及修复方案_漏洞分析_网络安全_
这个漏洞首先是国外某个团队发现的,他研究了多个浏览器的漏洞。其中遨游的漏洞比较独特,大致存在几个方面的,
1.about:history中存在xss漏洞,即浏览历史中url链接中存在明显的xss漏洞。
2.遨游的拓展中存在大量敏感函数,其中包括了写文件(目前看只能写在C:\Documents and Settings\Administrator\Local Settings\Temp目录下),命令执行(执行你写入的文件),此外目测还有大量系统内部数据可以操作,比如下载,配置等等。
3.除了1所说的地方外,Rss订阅那里也有xss漏洞,我个人估计遨游自己的插件大部分地方可能都会存在xss漏洞
4.2中所提到的大量敏感函数都是在dom中,只能在域i.maxthon.com以及本地类似浏览历史,收藏夹这种地方被调用。
构造类似链接
http://www.jb51.net /1.html#\">
在遨游中访问,
然后打开about:history,就可以看到效果了
那个pdf给的例子是构造了1.html的内容为
a=window.location.href='about:history';
修复方案:
ms遨游已经修复了直接打开about:history这个洞
相关内容
- 查找Centos Linux服务器上入侵者的WebShell后门_漏洞分析_网络安全_
- Velocity Parse()函数引发的本地包含漏洞及利用方法_漏洞分析_网络安全_
- 2019最新RDP远程桌面漏洞官方补丁(针对win2003、win2008)_漏洞分析_网络安全_
- 宝塔面板 phpmyadmin 未授权访问漏洞 BUG ip:888/pma的问题分析_漏洞分析_网络安全_
- CPU幽灵和熔断漏洞是什么?Intel为大家简单易懂的科普了一番_漏洞分析_网络安全_
- 解析文件上传漏洞 从FCKEditor文件上传漏洞谈起_漏洞分析_网络安全_
- WEB常见漏洞问题危害及修复建议_漏洞分析_网络安全_
- 漏洞 自动化脚本 论漏洞和自动化脚本的区别_漏洞分析_网络安全_
- 手把手教你如何构造Office漏洞POC(以CVE-2012-0158为例)_漏洞分析_网络安全_
- 简单七步教你如何解决关键SSL安全问题和漏洞_漏洞分析_网络安全_
