发布:2021年7月2日在13:27 UTC
更新:2021年7月5日在10:03 UTC
跨站脚本和警报()功能已经齐头并进了数十年。是否想证明您可以执行任意JavaScript?弹出警报。是否想以懒惰的方式找到XSS漏洞?注入警报() - 到处调用有效载荷,看看是否有任何弹出。
但是,在地平线上酿造了麻烦。恶意广告一直在滥用我们的心爱警报分散注意力和社会工程师的访问者。Google Chrome已决定通过禁用跨域iframe的警报。跨域iframe通常是故意内置到网站的,也是几乎具体的组成部分beplay体育能用吗某些相对高级的XSS攻击。
一旦Chrome 92在2021年7月20日降落,XSS漏洞将在跨域IFRAMES内部:
接下来是什么?明显的解决方法是使用提示或确认,但不幸的是,Chrome的缓解措施阻止了所有对话框。触发aDNS pingback给听众,Oast风格是另一种潜在方法,但由于配置要求而不太适合作为POC。我们也排除了console.log()由于控制台函数通常由JavaScript混淆器代理或禁用。
这种“保护”反对对话框跨域封锁警报和提示很有趣,但是长泽指出了他们忘记了基本的身份验证。这在当前版本的Canary中起作用。不过,它可能会在将来被阻止。
我们需要一个警报,是:
经过数周的深入研究,我们很高兴为您带来...
我们将在不久后更新我们的网络安全学院实验室,以支beplay体育能用吗持基于PRINT()的解决方案。beplay维护得多久这XSS备忘单还将更新以反映新打印()有效载荷时使用跨域IFRAME时。我们将继续使用警报当没有iframe涉及的时候...目前。
万能印刷!
- 加雷斯和詹姆斯