当self-xss遇到clickjacking

D&G | 2014-01-13 10:35

self-xss一般是认为没有危害的。比如http://kuai.xunlei.com/ 这里的搜索栏就存在一个典型的self-xss,输入内容的时候会出现一个提示,而提示里没有做任何过滤。如果要利用的话需要用户自己在搜索框里输入一串xss payload,这个基本不太现实。不过如果结合clickjacking,就变成了用户在一个我们伪装的页面上单击一下鼠标。所说比较鸡肋,但定向攻击越来越精细化,也许某些场景能发挥一定的作用。

当self-xss遇到clickjacking

[原文地址]

各种吐槽:

1#

0x_Jin (世上人多心不齐) | 2014-01-13 10:38

self-xss 用来做rootkit 很好用啊。。。 长期控制着~

2#

D&G | 2014-01-13 10:41

@0x_Jin 也是哈,看来self-xss也是很多间接利用方式的。

3#

xsser (十根阳具有长短!!) | 2014-01-13 10:53

除非出现像xsser.me这样的工具 技术如果只落到少数牛人手里 其实是没有什么大危害的 主要是牛人一般不缺钱

4#

/fd (/proc) ‫() | 2014-01-13 10:57

能单击就输入是IE only吧

5#

D&G | 2014-01-13 11:01

@xsser 在很多场合都听过你这个观点,我部分赞同。放在这里我是不是可以理解成,哪天出现一个clickjacking的平台,可以一键生成利用exp,附带各种模式惟妙惟肖的伪装,直接给出url,clickjacking也许就会引起各个厂商的重视了。

6#

邪少 | 2014-01-13 12:17

@xsser +1

7#

乌帽子 (中国的黄牛就是多,无处不在啊。乌云也有大量哦) | 2014-01-13 12:47

Mark.. 我是新一的马甲

8#

0x_Jin (世上人多心不齐) | 2014-01-13 14:09

@xsser 短短媳妇都要养不起了。。。。。。

9#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-01-14 08:39

╮(╯_╰)╭