作者ephesians (ephesians)
看板Ajax
标题Re: [情报] 资安业者展示JavaScript绑架漏洞
时间Thu Apr 5 11:47:30 2007
稍微看一看Fortify发布的文件,
意思是这样的:
骇客可能没办法直接调阅你的资料,
因为浏览器架构是,用XmlHttpRequest取得的JSON物件,以cookie方式储存.
此物件里头恰好有你存在Y网站的重要资料.
虽然有权限控管,但AJAX是以客户端为主要的计算平台.
骇客可能没有办法在你跟Y网站之间拦截资料,
但在AJAX中,骇客可以化身为你,请你捞资料给他.
Y网站的资料是以你的浏览器为计算平台,同理,骇客网站也以你的浏览器为计算平台.
文件展示的方法是,骇客自己弄个网站,然後他只要骗到你进入他的网站就成功了.
骇客网站程式首先覆写Object物件类别的建构式, (多亏了JavaScript物件模型)
只要物件一产生就做个动作,把该物件资料dump出来,传送给骇客主人.
接着,建立一个<script>物件,来源指定为Y网站......
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 59.112.227.118
※ 编辑: ephesians 来自: 59.112.227.118 (04/05 11:49)
1F:推 PsMonkey:[举手] 所以使用者还是得先误连骇客的 web site? 04/05 15:36
2F:→ ephesians:对啊,文件是这麽说的 04/05 16:29
3F:→ ephesians:如果你可以篡改原网站...你早就攻破了,何必用AJAX 04/05 16:29
4F:推 PsMonkey:ㄟ... 我的意思是,好像跟以前「假的」 form 没啥差别 04/05 22:46
5F:→ ephesians:无所谓啊,何必非得是全新的骗法? 04/05 23:24
6F:推 PsMonkey:这... 是也没错啦... 04/05 23:53
7F:推 DragonPink:应该可以看yahoo的示意图 0rz.tw/4c2vd 04/07 12:50