标签 ‘GIFAR’ 下的日志

GIFAR总结

鬼仔注:我整理了一下刺和空虚浪子心在关于GIFAR的一些补充分析一文中的评论,附在文章末尾。

作者:空虚浪子心

PS:感谢刺对本文提出建议。

前言
文章的开始,先诱惑下那些不研究applet的朋友。

Java Applet需要安装java环境才能执行。很多朋友不研究的主要原因,是自己认为普通上网用户不会安装java环境。但是大家真的知道目前都有哪些人安装了java环境么?你当然知道有这些人:“java开发人员”、“因工作需要使用java软件的人”,他们安装了java环境。但是你不知道的是,还有一群无辜的用户也在不知不觉中安装了。
阅读全文 »

Tags:

关于GIFAR的一些补充分析

作者:axis
原文链接

思路有点乱,想到什么说什么吧。

这个漏洞的危害主要在于跨域的影响上。普通的XSS漏洞可能需要在target site上找一个XSS的漏洞,然后诱使受害者去访问存在XSS的页面或者是点击一个XSS的link。

但是这类跨域漏洞不同,他不需要在target site上做什么,而是只需要在任意一个第三方站点上构造一些恶意脚本就可以实施攻击了,攻击范围将扩大许多许多。当然这个漏洞有点特殊,我们稍后再讲细节。

其次就是老外在文章里说的,java只是这种利用方式的一种,这种捆绑文件的方式还有很多利用途径。其实这里主要说的就是如果在服务端没有做好过滤,这种捆绑文件能够被某些客户端程序强行解析的话,就会存在一个利用。
阅读全文 »

Tags: