发布:2019年11月14日在15:58 UTC
更新:08年9月20日在UTC 12:26
跟进我的XS泄漏研究我认为通过识别Web应用程序上的独特标记IDS来检测应用程序会很酷。beplay体育能用吗问题是我们的技术依赖于框架目标网站,并且许多Web应用程序(如PHPMyAdmin)都有X-Frame-Options标题。beplay体育能用吗
Chrome有实验支持门户网站
标签就像一个iframe.
但不允许用户交互,更重要的是不考虑X-Frame-Options标题!Michałbentkowski做了一些研究在这个领域。虽然门户网站
元素不允许用户交互,它确实允许重点
事件,我可以使用它来绕过X-Frame选项标题,看看是否门户网站
获得焦点并因此标识应用程序。为了使这是为了工作,您需要通过转到约束:标志,搜索门户然后启用实验,以便在Chrome中启用门户网站。概念证明很简单,我只有一个onblur.
活动和A.门户网站
包含哈希中的PHPMyAdmin特定ID的元素,这将仅在该ID存在时焦点。代码如下所示:
有些读者可能会感到沾沾自喜,因为他们已经禁用了JavaScript,那么我想在没有JavaScript的情况下做同样的事情。CSS有A.:重点
选择器和A.:不是
选择器可以使用它来模拟模糊事件。使用:不是
选择器:重点
然后,您可以提出请求或显示特定元素。在这种情况下,我显示“PHPMyAdmin检测到”,但我可以轻松使用图像来触发跨域请求:
这<风格>
.波被{
显示:无;
}
.x:焦点{
背景颜色:#000;
}
.x:不是(:焦点){
背景颜色:红色;
}
.x:不是(:焦点)+ div {
显示:块;
}
style>
<输入class =“x”自动对焦>
iframe>
:不是
选择器与相邻的兄弟选择器(+)组合,当输入元件失去焦点时,将显示与输入元件相邻的DIV元件。相关的研究
每日SWIG的推荐故事beplay2018官网