首页 > 安全 > 系统安全 >

QQ浏览器Ipad版可跨域

2015-07-08

TSRC认为是系统问题,但是只有ipad这样啊,明明是开发的疏忽,但是屌丝好不容易找到个bug。。。(┬_┬)不过还是很感激TSRC的meizi曾经给我的宽容,thx,meizi详细说明: IOS本地域可以跨任意域,导致了在

TSRC认为是系统问题,但是只有ipad这样啊,明明是开发的疏忽,但是屌丝好不容易找到个bug。。。(┬_┬)
不过还是很感激TSRC的meizi曾经给我的宽容,thx,meizi

IOS本地域可以跨任意域,导致了在在ios本地执行js存在风险。

而QQ浏览器Ipad版允许在本地执行js,就是下载然后预览文件,而我测试其他浏览器百度,UC都是不允许这么做的,而且QQ浏览器ios非Ipad版都不允许这么做。

#前言

直接先危害证明,懒得打码了

QQ图片20150706124629.jpg

QQ图片20150706124811.jpg

QQ图片20150706124819.jpg


#1

只要在任意地方下载跨域的HTML然后预览就会触发

例如邮箱发一封带有跨域html附件的邮件或者其他方式让你下载或者打开某个html等等场景就会遭到攻击,这样应该算是浏览器漏洞吧?

QQ截图20150706125554.png


#2

感谢M锅的代码

SOP bypass with window.open()


<iframe name="m" onload="window.open('javascript:alert(document.cookie)','m')" src="http://mail.qq.com"></iframe>

QQ图片20150706125010.jpg

解决方案:

过滤

相关文章
最新文章
热点推荐