打破浏览安全的漏洞:UXSS

●  Chrome内核的代码数以百万计,谷歌的程序员难免有时会疏忽,他们写出的错误的代码(Bug),在浏览器中就很有可能演变成严重的漏洞。

●  浏览器漏洞会打破浏览器的隔离策略,我们称作“破坏浏览器同源准则漏洞”——基于这个漏洞的攻击,称为UXSS(通用跨站脚本)攻击。

●  通过UXSS,黑客可以窃取你的登录信息,也就是我们常称的“盗号”。也可以篡改其他网站的数据,诱骗你去提供一些敏感信息,即常称的“钓鱼”。

●  业内常用的维护安全的手段很简单,那便是升级软件。Chrome的版本号飞速增长,不仅有新功能,也有对漏洞的补丁。为了你的浏览安全,欢迎升级到

    QQ浏览器最新版本!

黑客如何通过漏洞“钓鱼”?

漏洞编号:CVE-2016-5208

漏洞描述:低版本的Chrome内核的Blink引擎存在一个漏洞。

Chrome错误地处理了对象的从属关系,从而允许攻击者远程注入脚本或代码,即UXSS。

攻击者可以利用UXSS,打开网站并任意篡改浏览器中显示的内容。这比一般钓鱼网站更危险,因为浏览器的地址栏中显示的甚至就是官网地址,但是页面内容却被篡改了。

黑客如何通过漏洞“盗号”?

漏洞编号:CVE-2017-5008

漏洞描述:Chrome的低版本内核中,Blink错误地处理了DOM树的同步事件,从而允许攻击者远程注入脚本或代码,即UXSS。

攻击者可以利用UXSS,获取任意网站的Cookie(即浏览器保存着的你的登录信息),或者通过监听你在浏览器中输入的账号密码,不知不觉地窃取你的账号。

黑客如何通过漏洞变成“你”?

漏洞编号:CVE-2016-5207

漏漏洞描述:Chrome的低版本内核中,Blink错误地处理了私有脚本方法的调用逻辑,从而允许攻击者远程注入脚本或代码,即UXSS。

攻击者可以利用UXSS,代替你操作其他网站。例如,黑客可以悄悄地打开微博页面,并假装成你,关注另一个陌生的账号,或者借用你的账号发送广告以牟利。

UXSS相关知识问答

8月25日更新

友情链接