XFS跨框架脚本攻击漏洞

已于 2024-05-09 10:32:52 修改
阅读量31 收藏
点赞数
分类专栏: # 渗透测试 文章标签: 安全
于 2022-12-30 08:44:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HeLLo_a119/article/details/128490294
版权

一、漏洞说明

如果网站没有对X-Frame-Options做出正确配置,可导致frame可以加载其他网站,诱导欺骗用户点击恶意链接。

二、测试方法

XFS漏洞测试代码:

<html>  
<head>  
<title>IE Cross Frame Scripting Restriction Bypass Example</title>  
<script>  
function alertKey(e) {  
    alert("key press = '" + e.which + "'");  
}  
</script>  
</head>  
<frameset οnlοad="this.focus();" οnblur="this.focus();" cols="100%" οnkeypress="alertKey(event);">  
 <frame src="http://test.com.cn" scrolling="auto">  
</frameset>  
</html>

<frame>标签内src处填写“需要检查的网站URL”,保存为.html文件后双击执行。

执行文件后出现与浏览器访问URL相同的页面,说明存在漏洞。

三、修复方法

建议在中间件中设置X-Frame-Options为SAMEORIGN

参考:

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options

HeLLo_a119
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XFS框架脚本漏洞介绍
发哥微课堂
09-18 1058
※ 介绍※ XFS即Cross-FrameScripting框架脚本,也叫iFrame注入,了解XFS问题前先来看下面这个小例子,有如下一段html代码。 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title></title> <script&g...
WEB安全漏洞XFS攻击、SSL协议漏洞及Http方法覆盖漏洞
Agonie_25的博客
05-17 1482
漏洞说明 这次对三类漏洞进行说明,之所以将它们放在一起,是因为这三类漏洞都可以在nginx中通过修改配置文件进行治理。 XFS攻击 漏洞说明:框架脚本(XFS)漏洞使攻击者能够在恶意页面的 HTMLiframe 标记内加载易受攻击的应用程序。攻击者可以使用此漏洞设计点击劫持攻击,以实施钓鱼式攻击框架探查攻击、社会工程攻击站点请求伪造攻击。简单的说,就是攻击者会将被攻击页面的网站内容嵌入...
iframe框架脚本攻击安全问题解决办法
一瓢西湖水的博客
06-02 1021
框架脚本(XFS)漏洞使攻击者能够在恶意页面的 HTMLiframe 标记内加载易受攻击的应用程序。攻击者可以使用此漏洞设计点击劫持攻击,以实施钓鱼式攻击框架探查攻击、社会工程攻击站点请求伪造攻击。个人理解就是其他网站会在他的iframe中调用我的网站内容,来截取他人的点击事件或者窃取他人敏感信息。
IFrame安全问题解决办法(框架脚本(XFS)漏洞
包磊磊的博客
04-15 1536
最近项目要交付了,对方安全测试的时候检测出高危险漏洞,由于刚参加工作不久,经验不足,未涉及过此方面的东西。经过一番查询和探索,最终解决了这个问题,记录一下。 发现的漏洞为缺少框架脚本保护。框架脚本(XFS)漏洞使攻击者能够在恶意页面的 HTMLiframe 标记内加载易受攻击的应用程序。攻击者可以使用 此漏洞设计点击劫持攻击,以实施钓鱼式攻击框架探查攻击、社会工程攻击...
php防止csrf /文件上传/xfs漏洞/非web接口安全/sql注入
qq_35772366的博客
08-03 3086
csrf是一种通过有权限用户在不知情的情况下点开了黑客的链接,黑客通过譔用户的权限进行一系利用户不知情的操作。 一般都是提交form表单。 在我不知道csrf以前,我判段用户是否登录都是在session存一个标识符,程序进行操作时都会判段此标识符是否存在。可是对csrf这个东西来说我这个安全措施是不存在的,想一想,用户的session是靠什么来进行区分的,靠的是存在cookie中的session
XFS.zip_XFS
09-20
Extensions for Financial Services (XFS) interface specification Release 3.30
xfs_undelete-master.zip
01-17
xfs_undelete-master
XFSDeviceProgramming_XFS_
10-04
xfs and shiet for developing application with xfs and stuff
XFS5152CE语音合成模块资料
07-08
内容包括:XFS5152CE数据手册、XFS5152CE模块设计原理图、XFS5152CE PCB设计、XFS5152CE模块驱动程序
XFS5152CE参考资料
02-25
XFS5152CE参考资料 技术文档
.NET框架脚本(XFS)漏洞解决方案
Teemo_2016的博客
07-23 1156
框架脚本(XFS)漏洞使攻击者能够在恶意页面的 HTML iframe 标记内加载易受攻击的应用程序。攻击者可以使用此漏洞设计点击劫持攻击,以实施钓鱼式攻击框架探查攻击、社会工程攻击站点请求伪造攻击。 点击劫持攻击的目的是欺骗受害用户在不了解的目标网站上与攻击者选择的 UI 元素交互,然后反过来代表受害者执行特权功能。为达到这一目的,攻击者必须攻击 XFS 漏洞以在 iframe 标记内...
XFS参数优化及测试
helloanthea的专栏
01-05 1万+
(一)测试环境 硬件环境Inspur NF5270M3, CPU E5-2650 v2@2.60GHz(2Sockect * 8Core * 2HT) 8 * 16GB of DDR3@1.33G RAM (NUMA) ASPEED Graphics Family (rev 21)(used in text-only mode) HGST HUS724030ALA640 7200 RPM 2.
XFS事件处理问题
Lyu-ming 栏目
04-14 1156
LRESULT CALLBACK WindowProc(HWND, UINT, WPARAM, LPARAM); int CreateWindowFunc( HINSTANCE hInstance ) {         HWND hWinHandle;         WNDCLASS wndClass;         char lpszClassName[] = "EVENTP
360漏洞检测:x-frame-options 漏洞
架构大师笔记
06-14 1万+
只要对tomcat的web.xml文件作如下配置即可:
XSS漏洞总结之小试牛刀
MX的博客
06-20 1万+
一:XSS漏洞总结 1&amp;amp;amp;gt;:简介 XSS是脚本攻击,属于被动式的攻击。XSS指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。 2&amp;amp;amp;gt;: 分类及危害 XSS分类: 反射型: 非持久性XSS攻击,当用户访问已被插入攻击代码的链接时,攻击代码执行,完成该次攻击。 存
XSS漏洞的原理与测试解决方案笔记
02-24 2万+
漏洞原理: XSS又叫CSS (Cross Site Script) ,脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。 业务影响: 通过XSS攻击可以攻击到网站管理员后台和平行的用户 安全关注点: 站可以导致用户的认证信息被盗,被钓鱼,被挂马等 解决方案: 对输出变量中的危险
XFS实现原理详解
热门推荐
scaleqiao的专栏
08-02 3万+
XFS核心架构设计及实现的介绍
写一个给磁盘自动分区xfs格式并永久挂载的shell脚本
最新发布
07-14
以下是一个示例的Shell脚本,它可以自动分区磁盘为XFS格式并永久挂载: ```shell #!/bin/bash # 定义要分区的磁盘 disk="/dev/sdb" # 创建分区 echo -e "n\np\n1\n\n\nw" | fdisk $disk # 格式化分区为XFS格式 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值