USDT线上交易:Edge浏览器bug可引发UXSS攻击

环球UG 3周前 (07-02) 科技 20 0

新2手机管理端网址

www.9cx.net)实时更新发布最新最快最有效的新2手机管理端网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。

,

Edge浏览器bug可引发UXSS攻击,窃取网站私密信息。

上周,微软宣布了Edge浏览器的更新修复了2个平安破绽,其中有一个平安绕过破绽,可以被行使来对随便网站举行注入和执行随便代码。

其中CVE-2021-34506破绽CVSS评分5.4分,属于UXSS平安问题,在通过Microsoft Translator使用浏览器的内置功效翻译web页面时会自动触发该破绽。

CyberXplore研究职员剖析称,与常见的XSS破绽差异,UXSS是行使浏览器或浏览器扩展中的客户端平安破绽来天生XSS条件和执行恶意代码的一类攻击。

下面是受破绽影响的startPageTranslation函数代码:

研究职员制作了一个PoC文件,代码如下:

破绽复现步骤如下:

1、下载PoC文件(POC.html)或复制PoC文件中的内容并内陆保留; file from 2、在PoC文件所在的文件夹启动Python服务器,使用的下令如下:

python3 -m http.server 80

3、打开Microsoft Edge浏览器(v 91.0.864.48版本),接见http://localhost/POC.html

USDT线上交易

U交所(www.usdt8.vip),全球頂尖的USDT場外擔保交易平臺。

4、翻译器将在显示页面是另外一种语言,是否需要翻译?点击翻译按钮

5、页面弹出alert(1)

远程破绽行使需要知足2个条件:

1、远程行使的攻击者需要使用Edge浏览器;

2、Edge浏览器需要开启自动翻译功效。

PoC视频参见:https://youtu.be/XfTN7fPtB1s

研究职员行使该破绽在谷歌、Facebook、Youtube等网站上举行了测试:

Facebook

研究职员确立了一个含有外国语言名字和xss payload的先容,并发送给受害者一个密友请求(受害者需要使用有破绽的Edge浏览器),一旦受害者查看简介,就会由于自动翻译而泛起XSS弹窗。

Facebook的PoC视频参见:https://youtu.be/tTEethBKkRc

Youtube

研究职员确立了一个youotube视频,输入含有xss payload的谈论,任何差异语言的用户查看该网页被使用自动翻译功效,就会被攻击。Youtube的PoC视频参见:https://youtu.be/2ogwUdszDsY

Windows应用商铺

研究职员发现Windows商铺中基于web的应用也会受到该破绽的影响,由于Windows应用商铺中也有使用相同Microsoft Edge Translator的应用,会触发UXSS攻击。Windows应用商铺的PoC视频参见:https://youtu.be/DoMfQD_ZiLE

更多手艺细节参见:https://cyberxplore.medium.com/how-we-are-able-to-hack-any-company-by-sending-message-including-facebook-google-microsoft-b7773626e447

本文翻译自:https://thehackernews.com/2021/06/microsoft-edge-bug-couldve-let-hackers.html
申博声明:该文看法仅代表作者自己,与本平台无关。转载请注明:USDT线上交易:Edge浏览器bug可引发UXSS攻击

网友评论

  • (*)

最新评论