此内容不能显示在一个框架中 ie_Internet Explorer中发现新漏洞,谨防窃取本地信息...

最新推荐文章于 2023-04-07 16:17:43 发布
最新推荐文章于 2023-04-07 16:17:43 发布
阅读量2.3k 收藏
点赞数
文章标签: 此内容不能显示在一个框架中 ie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39872395/article/details/111324838
版权
安全研究人员发现Internet Explorer存在零日XML外部实体(XXE)注入漏洞,攻击者可通过恶意MHT文件窃取用户本地机密信息。此漏洞利用IE作为MHT文件默认开启者,即便使用其他浏览器也可能被触发。研究人员提醒用户避免打开未知来源的MHT文件,微软正计划在未来版本中修复该问题。
摘要由CSDN通过智能技术生成

几天前,安全研究人员在Microsoft Internet Explorer中发现了一个零日XML外部实体(XXE)注入漏洞,该漏洞可使攻击者从受害者的机器上窃取机密信息或提取本地文件。

835aaee5698211b86aa2462810d8919a.png

根据研究人员的说法,IE是MHT文件的默认开启者,因此即使用户使用其他浏览器,IE也可能会打开恶意MHT文件。 MHT是Internet Explorer用于脱机下载和保存文件的格式。它可用于保存Web内容或保存电子邮件。

研究人员发现IE浏览器中存在XXE漏洞,可以绕过ActiveX控件模块的安全性。通常,如果要激活ActiveX控件对象,IE将在地址栏中显示提示,然后用户必须手动单击“允许”才能执行。开发者只需要欺骗用户双击打开MHT文件。打开后,本地文件和相关程序版本信息将被泄露。

漏洞概况

根据安全研究员John Page(又名hyp3rlinx)的说法,如果用户使用“Ctrl + K”键或“Ctrl + P”键与浏览器交互时打开特制的.MHT文件,则XXE注入会启动。此操作会触发XXE漏洞,并使攻击者能够从受影响的系统中提取文件。

趋势科技的研究人员Ranga

最低0.47元/天 解锁文章
weixin_39872395
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SharePoint 2013 Dialog 此内容不能显示一个框架
段传涛 的专栏
06-07 9699
SharePoint 2013 Dialog 此内容不能显示一个框架 此处内容是引用了SP.UI.Dialog。 与Iframe 引起的内容处理方法完全不一致。用了一天的时间,也没有修改完成。后来发现如下修改可以搞定。 此内容不能显示一个框架 为了帮助保护在此网站输入的信息的安全,此内容的发布者不允许在框架显示
fix-ie5.js扩展在IE5下不能使用的几个方法
10-30
在早期的Internet Explorer 5(简称IE5)浏览器,JavaScript的实现存在一些与现代标准不兼容的问题。`fix-ie5.js`是一个扩展,旨在解决IE5的这些兼容性问题,使得开发者可以使用一些在IE5原生环境不支持的方法...
内容不能显示一个框架 ie_Chromium Edge的IE兼容模式 与我们设想的有些不一样...
weixin_39520393的博客
11-14 1073
在今年 5 月的 Build 2019 开发者大会上,微软郑重宣布了将打造基于 Chromium 内核的 Edge 浏览器和 IE 兼容模式的消息。很多人猜测,除了跳转至用系统自带的 IE 浏览器,Chromium Edge 应该还支持直接在标签页以 IE 兼容模式打开网页。在几周前的微软 Inspire 合作伙伴会议召开前,这项功能终于被开发团队给激活了。(题图 via Neowin)想要体...
“IE已限制此网页运行可以访问计算机的脚本或”解决办法
10-18
IE已限制此网页运行可以访问计算机的脚本或
iframe 此内容不能显示一个框架
weixin_43841308的博客
08-30 8968
原因:所引用的链接设置了X-Frame-Options,可查看链接打开后,Http请求的响应头: 什么是X-Frame-Options? 是用来确认是否浏览器可以在frame或iframe标签渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站,以来避免点击劫持。 为什么要设置X-Frame-Options 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整ifram..
Goby漏洞|WSO2 API Manager 系统 save_artifact_ajaxprocessor.jsp XXE 漏洞(CVE-2020-24589)
m0_46699477的博客
04-07 203
WSO2 API Manager是美国WSO2公司的一套API生命周期管理解决方案。WSO2 API Manager存在漏洞。以下产品及版本受到影响:WSO2 API Manager从3.1.0 开始版本和 API Microgateway 2.2.0版本,攻击者可读取任意文件和探测内网信息等。
SharePoint Iframe 报错“此内容不能显示一个框架
weixin_33801856的博客
10-24 1189
问题描述   我们SharePoint站点用Excel Service发布的Excel,需要Iframe到其他系统,但是,Iframe的时候发现报错“此内容不能显示一个框架”。   后来,尝试在其他系统Iframe SharePoint其他页面,同样报这样的错误;但是SharePoint自己的页面,Iframe自己页面不报错,Iframe自己的Excel Services 页面报错,很...
SCS.rar_Explorer_internet explorer3._scs_wininet.dll
09-20
标题的"SCS.rar_Explorer_internet explorer3._scs_wininet.dll"表明这是一个与Windows系统组件相关的压缩包,特别是涉及到Internet Explorer浏览器的早期版本,以及一个名为"wininet.dll"的动态链接库文件。...
PTAV.rar_CND_Internet/IE编程_PTAV_ptav. com
09-24
【标题】"PTAV.rar_CND_Internet/IE编程_PTAV_ptav.com" 提供的信息表明,这是一个与网络编程相关的压缩文件,特别是涉及到CND(Content Delivery Network)和Internet Explorer(IE)编程的资料,可能包含一个名为...
IE.rar_IE_UrlHist.cpp_ie 浏览器_ie浏览器
09-20
【标题】"IE.rar"是有关Internet Explorer(简称IE)浏览器的一个压缩文件,其包含了"IE_UrlHist.cpp"源代码文件,这通常涉及到IE浏览器的URL历史记录管理功能。"ie 浏览器"标签进一步确认了这个压缩包与IE浏览器...
关于iframe页面报错如何跳到框架显示
03-05
关于iframe页面报错如何跳到框架显示,c# js两种
DBExplorer.rar_Ext.ux.SwfUploader_dbexplorer_welcomegrid.
09-22
标题的"DBExplorer.rar_Ext.ux.SwfUploader_dbexplorer_welcomegrid." 提供了几个关键信息。首先,"DBExplorer"很可能是一款用于管理MySQL数据库的图形用户界面工具,它可能提供了对数据库的可视化操作和管理功能...
AppUI自动化的图像识别的使用
测试开发探秘
11-30 2833
人工智能现在使用的越来越成熟了,如人脸识别,图像识别等,在AppUI自动化测试,也有越来越多的框架或是公司引入图像识别技术来提高自动化测试的执行效率。图像识别,是指利用计算机对图像进行处理、分析和理解,以识别各种不同模式的目标和对象的技术,是应用深度学习算法的一种实践应用。现阶段图像识别技术一般分为人脸识别与商品识别,人脸识别主要运用在安全检查、身份核验与移动支付;商品识别主要运用在商品流通过程,特别是无人货架、智能零售柜等无人零售领域。 图像的传统识别流程分为四个步骤:图像采集→图像预处理→特..
XXE blind 简单poc & 读文件
3569
03-27 3125
原理简介: https://blog.csdn.net/u011721501/article/details/43775691 首先你要确定是xml格式的数据,content-type是xml,PHP和JAVA利用有点不一样 PHP 利用方式 读取文件POC 利用: 自己vps放置 xxe.xml <!ENTITY % payload SYSTEM "php://fil...
WPF:WebBrowser提示 为帮助保护你的安全,您的Web浏览器已经限制此文件显示可能访问您的计算机的活动内容
宋同学的Solution
12-29 7651
RT,近日使用百度地图API,需要在本地做一个html文件承载,加载本地文件时出现该异常,百度了一下,搜到一个适用于IIS的方案1.将文件放入IIS,使用网络路径,即将下面的路径改为IIS地址  ChooseBrowser.Navigate(new Uri(Environment.CurrentDirectory + "/Map/CreatMap.html", UriKind.Absolute))...
去掉‘为帮助保护您的安全,internet explorer已经限制此文件显示可能访问您的计算机的活动内容’提示...
weixin_33896726的博客
11-21 1286
  调试脚本的时候,老是出现“为帮助保护您的安全,Internet Explorer 已经限制此文件显示可能访问您计算机的活动内容。单击此处查看选项…””这样的信息栏提示,试了几次,终于把这个选项去掉了。方法:    “工具”-&gt;“internet 选项”-&gt;“高级”-&gt;“安全”-&gt;"允许活动内容的文件在我的计算机运行"...
android intent rootexplorer,Android:如何通过Intent打开特定文件夹并在文件浏览器显示内容?...
最新发布
05-26
你可以使用以下代码打开特定文件夹并在文件浏览器显示内容: ```java Intent intent = new Intent(Intent.ACTION_VIEW); Uri uri = Uri.parse("file://" + "/sdcard/myfolder/"); intent.setDataAndType(uri, ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值