世界之窗(The World)浏览器地址栏欺骗漏洞POC
漏洞解析:世界之窗浏览器在处理页面跳转时存在问题,当跳转至about:blank协议时并不会实际处理地址栏里的URL,导致一个严重的地址栏欺骗漏洞,恶意站点可以利用该漏洞对世界之窗浏览器用户进行钓鱼欺骗等等恶意操作。世界之窗(the world)浏览器地址栏欺骗漏洞
+++++++++++++++++++++++++++++++++++++++++
新打开的链接,地址栏是[url]http://www.baidu.com[/url]
内容却是被人恶意控制的
问题2:世界之窗浏览器和360安全浏览器中发现了一个严重的安全问题,由于浏览器在处理某些伪协议时存在安全问题,导致恶意站点可以实现地址栏欺骗,用户可能在毫无知觉的情况下被引导进去一个钓鱼或者欺骗页面,该页面的地址栏是完全正确的地址,内容却可以被随意构造。 感谢楼主的投递,我们将进一步核实。 最新版不是已经修正了一个欺骗的漏洞了吗?难道又有一个? :sweat: 赶紧新版修正 ! 这个俺不在行啊 想知道楼主的信息来源
上次80sec提供了一个漏洞信息 tw新版已经解决了
页:
[1]