作者ephesians (ephesians)
看板Ajax
標題Re: [情報] 資安業者展示JavaScript綁架漏洞
時間Thu Apr 5 11:47:30 2007
稍微看一看Fortify發佈的文件,
意思是這樣的:
駭客可能沒辦法直接調閱你的資料,
因為瀏覽器架構是,用XmlHttpRequest取得的JSON物件,以cookie方式儲存.
此物件裏頭恰好有你存在Y網站的重要資料.
雖然有權限控管,但AJAX是以客戶端為主要的計算平台.
駭客可能沒有辦法在你跟Y網站之間攔截資料,
但在AJAX中,駭客可以化身為你,請你撈資料給他.
Y網站的資料是以你的瀏覽器為計算平台,同理,駭客網站也以你的瀏覽器為計算平台.
文件展示的方法是,駭客自己弄個網站,然後他只要騙到你進入他的網站就成功了.
駭客網站程式首先覆寫Object物件類別的建構式, (多虧了JavaScript物件模型)
只要物件一產生就做個動作,把該物件資料dump出來,傳送給駭客主人.
接著,建立一個<script>物件,來源指定為Y網站......
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 59.112.227.118
※ 編輯: ephesians 來自: 59.112.227.118 (04/05 11:49)
1F:推 PsMonkey:[舉手] 所以使用者還是得先誤連駭客的 web site? 04/05 15:36
2F:→ ephesians:對啊,文件是這麼說的 04/05 16:29
3F:→ ephesians:如果你可以篡改原網站...你早就攻破了,何必用AJAX 04/05 16:29
4F:推 PsMonkey:ㄟ... 我的意思是,好像跟以前「假的」 form 沒啥差別 04/05 22:46
5F:→ ephesians:無所謂啊,何必非得是全新的騙法? 04/05 23:24
6F:推 PsMonkey:這... 是也沒錯啦... 04/05 23:53
7F:推 DragonPink:應該可以看yahoo的示意圖 0rz.tw/4c2vd 04/07 12:50