Edge 浏览器被爆存在 XSS 绕过漏洞

最新推荐文章于 2022-07-11 07:34:00 发布
最新推荐文章于 2022-07-11 07:34:00 发布
阅读量350 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/115726
安全专家发现微软Edge浏览器内置XSS过滤器存在绕过漏洞,这可能导致攻击者执行恶意JavaScript脚本。该问题源于Edge部分继承了IE浏览器的代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

来自知名安全测试套件Burp Suite厂商PortSwigger的安全专家Gareth Heyes近日在微软Edge浏览器的内置XSS过滤器存在绕过漏洞,这就意味着尽管微软在Edge浏览器中进行了大量的安全策略部署,但用户浏览网页的时候依然有可能让攻击者通过这种方式在Edge浏览器中执行恶意JavaScript脚本。

screenshot

XSS 过滤器目前出现在大部分浏览器上,目的是为了从浏览器级别阻止XSS(跨网站脚本攻击),从而阻止针对网站和用户的攻击。PortSwigger的官方博 客表示该漏洞的存在主要是因为Edge浏览器移植了部分来自IE浏览器的代码,这个问题在IE浏览器中已经得到修复,但是在Edge中并未修复。 Heyes表示在去年9月4日发现了这个漏洞,并已经报告给微软公司。

====================================分割线================================
文章转载自 开源中国社区[http://www.oschina.net]

XSS过滤绕过总结_xss绕过字符过滤
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-29 1936
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。...
xss绕过字符过滤_XSS过滤器绕过总结
weixin_39610353的博客
12-21 1329
XSS过滤器绕过总结黑名单过滤器绕过黑名单模式下的过滤器是最常见的。他们的目标是检测特定模式并防止恶意行为。这完全是“模式”的问题,它们越准确,就越可以拦截攻击。1. 注入脚本代码主要是标签,可用于执行客户端脚本代码,例如JavaScript。 它是为此目的而设计的,当然,这是大多数过滤器阻止的第一个首选。1.1 绕过弱标签过滤简单的过滤器无法涵盖所有可能的情况,所以可以绕开它们。 以下示例仅是对...
Edge浏览器中的Universal XSS
NOSEC2019的博客
09-09 681
在各类XSS漏洞中,uXSS可以说是一种非常特殊的类别,它和浏览器浏览器的插件有关,和具体网站无关。这就像你在所有的网站上都有一个非常有趣的XSS(某个浏览器下)。 在这篇文章中我将讲述在Edge浏览器中发现的这个uXSS。通常来说,uXSS与iframe元素或者URL有关,我从没想过我会通过print()函数找到一个uXSS。 打印预览 先让我们讨论一下当Edge浏览器显示打印预览窗口时发生...
Edge浏览器(Chromium)——从XSS到接管网页
NOSEC2019的博客
12-25 3569
微软早前宣布他们将发布基于Chromium的Edge浏览器。继谷歌Chrome之后,微软的Edge将成为第二款基于Chromium的浏览器。 在2019年8月20日,微软宣布了一项新的漏洞奖励计划,主要针对基于Chromium的Edge浏览器。该项目规定,只有针对微软的代码所开发的攻击才能得到赏金,这意味着攻击面非常小。但为了弥补这一点,微软愿意提供了两倍的奖励。这意味着这款新浏览器中一个过审的...
Edge浏览器的选项中新增了性能模式
llawliet0001的专栏
04-28 715
导读 我们知道,Edge 浏览器在改用 Chromium 内核后,口碑一直相当好,很多方面对比 Chrome 都有优势。在之前,微软 Edge 浏览器加入了标签页休眠的功能,这可以减少内存和 CPU 的使用和能耗。不过这个特性并不足以提升 PC 整体的系统性能,还存在其他因素影响 Edge 浏览器的内存 CPU 使用效率。 根据 Windows Lastest 报道,Edge 浏览器很快就要增添一个“性能模式”,可以带来性能方面的改进,对于游戏玩家等重度性能需求用户来说尤为意义重大。 就如下面的
网页插入mp4_Edge浏览器(Chromium)——从XSS到接管网页
weixin_39895181的博客
11-28 716
微软早前宣布他们将发布基于Chromium的Edge浏览器。继谷歌Chrome之后,微软的Edge将成为第二款基于Chromium的浏览器。在2019年8月20日,微软宣布了一项新的漏洞奖励计划,主要针对基于Chromium的Edge浏览器。该项目规定,只有针对微软的代码所开发的攻击才能得到赏金,这意味着攻击面非常小。但为了弥补这一点,微软愿意提供了两倍的奖励。这意味着这款新浏览器中一个过审的漏洞...
xss绕过html实体化,通过脚本片段绕过XSS防御
weixin_42386511的博客
06-07 1927
原标题:通过脚本片段绕过XSS防御 从恶作剧弹框到盲打后台乃至沦陷一个企业,XSS的危害可大可小,近年来,XSS攻击与防御的博弈持续不断,下面是今年5月份北爱尔兰首府举行的OWASP AppSec EU的安全议题:通过脚本片段绕过XSS防御。一、XSS 防御措施尽管业界付出了很多努力,XSS依然是一个广泛且未解决的问题。有数据指出:谷歌VRP中70%的漏洞XSS漏洞XSS防御技术的通用假设为:...
linux文件上传白名单绕过,【漏洞详解】基于文件上传点挖掘存储型XSS漏洞
weixin_39611031的博客
05-15 1683
原标题:【漏洞详解】基于文件上传点挖掘存储型XSS漏洞说到文件上传漏洞,常见的姿势是是尝试利用上传木马 Getshell。但是,在挖漏时很少碰到可以顺利上传木马的点,一般都是卡在某一步(服务器白名单过滤、已上传木马文件找不到路径、无法解析……),然后不了了之……而实际上,对于文件上传的功能点,我们还可以进一步尝试进行存储型 XSS 跨站脚本攻击,往往会有意想不到的惊喜!本文将对其进行介绍。PART...
渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3626
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
chrome关闭xss防护
一个安全研究员
03-16 1万+
引用 摘自:http://blog.youkuaiyun.com/shiyuqing1207/article/details/46430017 在使用浏览器进行xss测试时需要预先关闭xss过滤器 chrome的关闭方法: 我的chrome安装目录在C:\Program Files (x86)\Google\Chrome\Application\chrome.exe,关闭方...
Microsoft Edge 浏览器远程代码执行漏洞POC及细节(CVE-2017-8641)
weixin_30433075的博客
08-22 554
2017年8月8日,CVE官网公布了CVE-2017-8641,在其网上的描述为: 意思是说,黑客可以通过在网页中嵌入恶意构造的javascript代码,使得微软的浏览器(如Edege),在打开这个网页时,造成堆溢出。通过精心构造javascript代码,可以通过浏览器在用户电脑上执行任意代码。受影响的版本包括下列操作系统中的浏览器(IE(9,10,11)和Edge): 1. Window...
XSS注入漏洞解决方法(高风险)
weixin_43922510的博客
08-15 1万+
漏洞描述 攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 漏洞验证 通过在页面中的留言板,提交框,录入信息框等能够提交参数的地方,尝试注入相关xss代码测试,能够成功执行对应代码功能则存在问题,可能造成流量劫持,篡改、删除页面信息,获取用户cookie信息,盗取账号等不良影响。 修复建议 过滤输入的数...
XSS插入绕过一些方式总结
热门推荐
煜铭2011
05-05 8万+
0x00前言 我们友情进行XSS检查,偶然跳出个小弹窗,其中我们总结了一些平时可能用到的XSS插入方式,方便我们以后进行快速检查,也提供了一定的思路,其中XSS有反射、存储、DOM这三类,至于具体每个类别的异同之处,本文不做学术介绍,直接介绍实际的插入方式。 0x01 常规插入及其绕过 1 Script 标签 绕过进行一次移除操作: <scr<script&g...
XSS————XSS绕过Bypass的各种各样姿势
Fly_鹏程万里
04-16 1万+
XSS 攻击是一种攻击者将 JavaScript 代码注入到用户运行页面中的攻击。为了避免这种攻击,一些应用会尝试从用户输入中移除 JavaScript 代码,但这很难完全实现。在本文中会先展示一些尝试过滤 JavaScript 的代码,并随后给出其绕过方法。以一个网上商城应用Magento中的过滤类 Mage_Core_Model_Input_Filter_MaliciousCode为例,部分代...
NODEJS 简单的三个漏洞
E1even的博客
03-15 1559
NODEJS 1.toUpperCase: toUpperCase这个函数有个特点: 字符ı、ſ 经过toUpperCase()处理后结果为 I、S 字符K经过toLowerCase()处理后结果为k 利用特点(例题1): CTFSHOW: 一个登录页面啥也不是,关键在于题目给了我们压缩包。 打开之后: login.txt: var express = require('express'); var router = express.Router(); var users = require('../mod
利用窗口引用漏洞XSS漏洞实现浏览器劫持
weixin_34080903的博客
04-06 216
==Ph4nt0m Security Team== [By rayh4c ] [ <rayh4c@80sec.com> [目录] 1. 前言 2. 同源策略简叙 3. 理解window对象的同源策略 4. 窗口引用功能中的同源策略漏洞 4.1 父窗口引用子窗口的同源策略问题 4.2 子窗口引用父窗口的同源策略问题 5. 利...
mmexport1755325166750.mp4
08-16
mmexport1755325166750.mp4
Go语言教程&案例&相关项目资源
最新发布
08-16
Go语言教程&案例&相关项目资源
XSS漏洞绕过技巧完全指南
3. 绕过内容安全策略(CSP):详述如何绕过实施内容安全策略保护的Web应用,内容安全策略是现代浏览器用来预防XSS攻击的一种方法。 4. 编码和混淆技巧:介绍各种编码技术,如URL编码、HTML实体编码等,以及如何通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值