360安全浏览器XSS漏洞(高风险域可造成某些敏感信息泄漏)及修复
发布时间:2014-04-28 12:21:58作者:知识屋
测试版本:6.2.1.186
在中访问 http://www.baidu.com/?a=1'"><> 后,查看历史纪录。有我们刚才访问的那条记录,审查元素有如下代码:
<div class="link-tit" style="background-image:url(chrome://favicon/size/16/http://www.baidu.com/?a=1'%22%3E%3C%3E);"> <a target="_blank" href="http://www.baidu.com/?a=1'%22%3E%3C%3E">百度一下,你就知道</a> </div>
从上面代码可以看到有两处用到我们刚才访问的 URL,对于 chrome 浏览器,默认对 query 进行 URL 编码处理,但是对于锚点后面的符号不进行任何处理。
构造一个 http://www.baidu.com/?a=1'"><>#'"><script>alert(1)</script>,访问后查看历史纪录。是不是执行我们的代码了。
修复方案:
对锚点后面的符号也需要进行编码等
(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)
相关知识
软件推荐
更多 >
-
1菜鸟简单抓肉鸡(如何抓肉鸡)
2011-06-17
-
2
电脑开机时出现lass.exe进程是病毒吗?
-
3
自拍须谨慎!教你如何通过照片定位查看拍摄地点
-
4
电脑病毒最基础知识
-
5
黑客学员必须了解的C语言技术
-
6
精典详细内网渗透专题文章
-
7
教你破解Tp-Link的无线路由密码
-
8
解决SecureCRT中文显示乱码
-
9
QQ电脑管家和360哪个好?横评实测对比
-
10
攻防实战:无线网络路由入侵过程
