发布:2019年11月14日在15:58 UTC
更新:08年9月20日在UTC 12:26
跟进我的XS泄漏研究我认为通过识别Web应用程序上的独特标记IDS来检测应用程序会很酷。beplay体育能用吗问题是我们的技术依赖于框架目标网站,并且许多Web应用程序(如PHPMyAdmin)都有X-Frame-Options标题。beplay体育能用吗
Chrome有实验支持门户网站标签就像一个iframe.但不允许用户交互,更重要的是不考虑X-Frame-Options标题!Michałbentkowski做了一些研究在这个领域。虽然门户网站元素不允许用户交互,它确实允许重点事件,我可以使用它来绕过X-Frame选项标题,看看是否门户网站获得焦点并因此标识应用程序。为了使这是为了工作,您需要通过转到约束:标志,搜索门户然后启用实验,以便在Chrome中启用门户网站。概念证明很简单,我只有一个onblur.活动和A.门户网站包含哈希中的PHPMyAdmin特定ID的元素,这将仅在该ID存在时焦点。代码如下所示:
有些读者可能会感到沾沾自喜,因为他们已经禁用了JavaScript,那么我想在没有JavaScript的情况下做同样的事情。CSS有A.:重点选择器和A.:不是选择器可以使用它来模拟模糊事件。使用:不是选择器:重点然后,您可以提出请求或显示特定元素。在这种情况下,我显示“PHPMyAdmin检测到”,但我可以轻松使用图像来触发跨域请求:
<风格>
.波被{
显示:无;
}
.x:焦点{
背景颜色:#000;
}
.x:不是(:焦点){
背景颜色:红色;
}
.x:不是(:焦点)+ div {
显示:块;
}
<输入class =“x”自动对焦>
这:不是选择器与相邻的兄弟选择器(+)组合,当输入元件失去焦点时,将显示与输入元件相邻的DIV元件。
