一种有趣的安全隐患——界面劫持

2017-02-28 21:28:25 +08:00
 kindjeff
这是一个演示链接: https://www.kindjeff.com/static/for_fun/v2ex_0.html

在这个链接里点击按钮之后,再来看我的 V2EX 主页: https://www.v2ex.com/member/kindjeff

会发现特别关注了我。思路很简单但是很有效。
7422 次点击
所在节点    V2EX
58 条回复
terence4444
2017-02-28 22:50:51 +08:00
发现我还禁止了第三方 cookie ,不过这个攻击对于普通浏览器来说,可能是有效的。

ic2y
2017-02-28 23:01:08 +08:00
无效。 chrome 进行了拦截

Uncaught DOMException: Blocked a frame with origin "https://www.v2ex.com" from accessing a cross-origin frame.
x86
2017-02-28 23:03:25 +08:00
某书上看过例子
changwei
2017-02-28 23:06:15 +08:00
余弦的书上讲过这种攻击方式
kxxoling
2017-02-28 23:21:27 +08:00
osX + Chrome 56 劫持成功。
billlee
2017-02-28 23:43:08 +08:00
r#20 @terence4444 我的 Firefox 并没有拦截啊
terence4444
2017-02-28 23:56:42 +08:00
@billlee 看上面回复,大概是我装的那两个扩展,我一向对跨站请求和跨站 cookies 很小心。
billlee
2017-03-01 00:00:06 +08:00
r#21 @terence4444 你这个 firefox 扩展是什么?
terence4444
2017-03-01 00:01:22 +08:00
@billlee Cookie Monster + RequestPolicy Continued
Layne
2017-03-01 03:11:18 +08:00
reeder 的内置浏览器,成功关注
20015jjw
2017-03-01 03:11:32 +08:00
android chrome 成功 记得要选 desktop site
xzpjerry731
2017-03-01 05:50:15 +08:00
缩放 175%后没有效果 (滑稽
zscself
2017-03-01 09:05:13 +08:00
@changwei 我前三章都没看完都知道他书上写过,你猜是为什么。。。
tabris17
2017-03-01 09:09:13 +08:00
chrome

Uncaught DOMException: Blocked a frame with origin "https://www.v2ex.com" from accessing a cross-origin frame.
changwei
2017-03-01 09:15:42 +08:00
@zscself 为什么呀?
zscself
2017-03-01 09:23:06 +08:00
@changwei 因为他写在了第一张(笑)
ScotGu
2017-03-01 09:28:10 +08:00
centbrowser 版本 2.3.7.50 (Chromium 55.0.2883.103) 成功。

Chrome 版本 56.0.2924.87 关闭 uBlock Origin 后 成功。

测试系统 Win 10
v2ex.com 必须是登陆状态才有效。
ieliwb
2017-03-01 09:46:32 +08:00
osX + Chrome 56 劫持成功 +1
journey
2017-03-01 10:29:00 +08:00

win10 1607 + Chrome 56 劫持成功 +1
有趣
crossoverJie
2017-03-01 13:20:56 +08:00
macos chrome 56 +1

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/343894

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX