《Cross Iframe Trick:the Old New Thing》的评论 http://huaidan.org/archives/2271.html 关注网络安全 Sun, 20 May 2012 00:27:04 +0000 hourly 1 http://wordpress.org/?v=3.3.2 作者:t-h4ck http://huaidan.org/archives/2271.html/comment-page-1#comment-10550 t-h4ck Fri, 29 Aug 2008 18:11:07 +0000 http://huaidan.org/?p=2271#comment-10550 也许我很菜 这个除了隐蔽很好外利用很鸡肋的····· 也许我很菜 这个除了隐蔽很好外利用很鸡肋的·····

]]> 作者:t-h4ck http://huaidan.org/archives/2271.html/comment-page-1#comment-10549 t-h4ck Fri, 29 Aug 2008 18:08:57 +0000 http://huaidan.org/?p=2271#comment-10549 当正常用户浏览 http://www.baidu.com/av.html 时候,就会受到来自 evilupload.html 的XSS攻击, 而攻击的来源是 http://www.advertise.com/evil.html 发起的。 这种跨域的攻击将会极其隐蔽,因为真正的恶意脚本是写在evilupload.html 里的,所以即便查看了 av.html 和 evil.html 的代码也无法看到任何恶意脚本,只能看到两个iframe。 ----------------------------------------------- 虽然是跨域 但是我们必须有权限去修改 BAIDU.COM 上的evilupload.html 文件吧····这样才能跨域执行脚本····如果没有权限修改 那么evilupload.html 在BAIDU上的恶意文件哪来?解释一下 当正常用户浏览 http://www.baidu.com/av.html 时候,就会受到来自 evilupload.html 的XSS攻击, 而攻击的来源是 http://www.advertise.com/evil.html 发起的。

这种跨域的攻击将会极其隐蔽,因为真正的恶意脚本是写在evilupload.html 里的,所以即便查看了 av.html 和 evil.html 的代码也无法看到任何恶意脚本,只能看到两个iframe。

-----------------------------------------------
虽然是跨域 但是我们必须有权限去修改 BAIDU.COM 上的evilupload.html 文件吧····这样才能跨域执行脚本····如果没有权限修改 那么evilupload.html 在BAIDU上的恶意文件哪来?解释一下

]]> 作者:chedan http://huaidan.org/archives/2271.html/comment-page-1#comment-10540 chedan Fri, 29 Aug 2008 06:20:37 +0000 http://huaidan.org/?p=2271#comment-10540 扯淡去吧,一点干坏事的用都没有 扯淡去吧,一点干坏事的用都没有

]]> 作者:老臧 http://huaidan.org/archives/2271.html/comment-page-1#comment-10537 老臧 Thu, 28 Aug 2008 05:12:21 +0000 http://huaidan.org/?p=2271#comment-10537 怎么也没有个说话的地方…… 交换个链接 http://lovelaozang.cn 怎么也没有个说话的地方……

交换个链接

http://lovelaozang.cn

]]>