当self-xss遇到clickjacking
D&G | 2014-01-13 10:35
self-xss一般是认为没有危害的。比如http://kuai.xunlei.com/ 这里的搜索栏就存在一个典型的self-xss,输入内容的时候会出现一个提示,而提示里没有做任何过滤。如果要利用的话需要用户自己在搜索框里输入一串xss payload,这个基本不太现实。不过如果结合clickjacking,就变成了用户在一个我们伪装的页面上单击一下鼠标。所说比较鸡肋,但定向攻击越来越精细化,也许某些场景能发挥一定的作用。
各种吐槽:
1#
0x_Jin (世上人多心不齐) | 2014-01-13 10:38
self-xss 用来做rootkit 很好用啊。。。 长期控制着~
2#
D&G | 2014-01-13 10:41
@0x_Jin 也是哈,看来self-xss也是很多间接利用方式的。
3#
xsser (十根阳具有长短!!) | 2014-01-13 10:53
除非出现像xsser.me这样的工具 技术如果只落到少数牛人手里 其实是没有什么大危害的 主要是牛人一般不缺钱
4#
/fd (/proc) () | 2014-01-13 10:57
能单击就输入是IE only吧
5#
D&G | 2014-01-13 11:01
@xsser 在很多场合都听过你这个观点,我部分赞同。放在这里我是不是可以理解成,哪天出现一个clickjacking的平台,可以一键生成利用exp,附带各种模式惟妙惟肖的伪装,直接给出url,clickjacking也许就会引起各个厂商的重视了。
6#
邪少 | 2014-01-13 12:17
@xsser +1
7#
乌帽子 (中国的黄牛就是多,无处不在啊。乌云也有大量哦) | 2014-01-13 12:47
Mark.. 我是新一的马甲
8#
0x_Jin (世上人多心不齐) | 2014-01-13 14:09
@xsser 短短媳妇都要养不起了。。。。。。
9#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-01-14 08:39
╮(╯_╰)╭