Safari是半随机网站的热链接图像beplay体育能用吗

图形显示Amazon徽标上的快速外观菜单

借助过度热情的OCR(光学特征识别),每个图像都可能是Safari上的URL。这意味着您可以将任何图像链接到外部网站 - Safari可能已经将您的用户发送到意外的目的地。beplay体育能用吗

这一切始于“ Zon.com”在我们公司主页上的神秘到来。RIC(我们的一位设计师)注意到我们网站上的一些可疑行为。beplay体育能用吗他来到我们身边,在Safari上装载了主页,并在亚马逊徽标上徘徊。令我们震惊的是,它显示了指向“ zon.com”的链接。他对我们的第一个问题 - “我们被黑客入侵了吗?为什么这个网址在我们的主页上显示?!”

使用Amazon徽标显示快速外观菜单的动画

经过开发工具进行了一些调查,我们找不到任何与众不同的东西。因此,我加载了Photoshop,并制作了一个带有Amazon.com的图像。我加载了野生动物园,并在图像上徘徊,然后弹出了一个“快速外观”菜单,并给了Amazon.com!

这是一个野生动物园功能,它试图在图像中解析URL。发生的事情是因为亚马逊徽标下面有箭头,它正在打破OCR - 然后导致URL被解析为Zon.com。这是完全疯狂的。您上传到任何网站的任何图像现在都可以在Safari上嵌入beplay体育能用吗URL!

自然,我们然后开始研究它会认识到的哪种URL。通常,我会模糊URL,但这非常困难,因为您必须悬停在图像上并单击菜单,这使模糊尴尬。因此,我决定使用Photoshop并进行一些手动测试。我尝试的第一件事是查看是否识别协议 - 它似乎允许HTTP和HTTPS,但不允许JavaScript或文件。然后,我测试了它是否允许查询字符串参数。当然做到了。所以你可以嵌入XSS有效负载在图像中,Safari会愉快地解析它,并允许您单击它。尽管JavaScript URL不起作用,但我开始寻找绕过此限制的方法。

我做的第一件事是尝试使JavaScript URL看起来像协议:

JavaScript:// alert(1).com

这是解析的,显示了快速外观菜单,但不允许您单击URL。然后,我试图使JS URL看起来更像是常规URL:

http:// javascript://hackvertor.co.uk

这也失败了,但后来我尝试了:

http:// javascript:1337 // location.href = 123

这似乎是可单击的,但我找不到服务器消息,而URL栏则显示JavaScript URL。发生了什么事?Safari访问了HTTP URL,但剥夺了离开JavaScript协议的协议。这意味着当您刷新时,JavaScript URL将被激活。多次尝试后,我优化了有效载荷:

JavaScript URL图像

当您悬停在上图上时,Safari将允许您在快速外观菜单中单击它。单击链接时,您会收到服务器错误消息,但是命中刷新将在“ Safari-Resource”上下文中执行JavaScript。但是,有一个警告 - 您需要在开发人员菜单中的“智能搜索字段”中启用JavaScript。但是,除了警告外,这仍然是一项疯狂的功能,因为我很确定您不希望任何图像能够嵌入JavaScript URL或链接到随机网站!beplay体育能用吗

动画GIF显示JavaScript注入

无论如何,我要去注册zon.com。

回到所有文章

每日Swig的推荐故事beplay2018官网