关于html本地权限问题

作者:lcx

最近看了两篇文章,一篇是Google Chrome使用ajax读取本地文件漏洞,另一篇是本地执行ajax的权限问题,对此我有一点自己的想法,我认为这都不算是安全问题,好像这两篇文章没有对本地html的权限有足够的了解。

举两个例子,一个是html读出本地txt内容,一个是html操作本地数据库,关键是用户允许执行本地的js了。

如果还不清楚html权限有足够大的话,请执行C:\WINDOWS\pchealth\helpctr\System\sysinfo下面的相关 的html,如C:\WINDOWS\pchealth\helpctr\System\sysinfo\sysinfosum.htm,你就有足够的了 解。

如果有了用户执行本地active权限的操作,对IE来讲是不分浏览器的版本的,像html读出本地txt内容同样在IE8下就适用(win7+ie8以及xpsp2+ie7测试通过)。所以我认为空虚浪子心发的一会对这个浏览器测试一会对那个浏览器测试ajax读本地内容,以及xeye团队对这个议题研究的意义不大,本身是允许用户执行了本地js了。

如果没有提示来执行的话,才算是安全问题。举个例子,像ms06014网马在xp系统上补丁打了,你本地执行ms06014网马,如果一步一步允许所有执行都同意的话,它同样是可以执行的。

一家之言,希望以上两篇文章的作者不要骂我。

相关日志

楼被抢了 5 层了... 抢座Rss 2.0或者 Trackback

  • Hell-Phantom

    嗯,有理. 只能算得上是个BUG.

  • 邪恶猫

    是啊,说白了,用户SB都同意后,才能执行,

    没有隐蔽性的洞洞,都是无聊的人放出来装B的

  • MIAO

    Hell还真无处不在

  • 樱木花盗

    就像是请把这个
    木马.exe
    下载回来请双击运行,用户就中马了……
    效率很高…囧……

  • poruin

    楼上的地址错误,下载不了,不然我就下载运行了

发表评论