关于跨域蠕虫的存在
作者:余弦
来源:0x37 Security
这几天分析了几个大网站的XSS&CSRF漏洞,又开始思考跨域蠕虫的问题。QZ修饰鬼页后发现了在IE6下跨域的BUG,这个发现带来的冲击可不仅仅是盗cookie那么简单:),不过我下面要提到的跨域蠕虫与这个BUG无关,本文纯属YY一下。
XSS Worm的流行离不开SNS网络,技术核心非XMLHttpRequest对象莫属,我写了几个SNS网络的Worm,如果这几个Worm之间可以互相通 信的话(突破自身无法跨域的缺陷),那危害将会更大,会更有趣:)。首先我们要明确Webx.0世界中的Worm的生存条件以及它们是如何繁殖的(略)。 要让Worm之间通信,方法有很多。
阅读全文 »
