XFS: Cross Frame Script (跨框架脚本) 攻击。

最新推荐文章于 2023-06-02 22:16:37 发布
转载 最新推荐文章于 2023-06-02 22:16:37 发布 · 1.1k 阅读 · 1
文章标签:

#java

本文介绍了CrossFrameScript(XFS)攻击的基本概念、工作原理及其实现方式,并提供了防范措施,帮助网站管理员保护网站免受此类攻击。
部署运行你感兴趣的模型镜像

一、Cross Frame Script (跨框架脚本) 攻击
什么是Cross Frame Script?
很简单,做个实验就知道了。把下面的这段HTML代码另存为一个html文件,然后用ie浏览器打开。
<html>
<head>
<title>IE Cross Frame Scripting Restriction Bypass Example</title>
<script>
var keylog='';
document.onkeypress = function () {
   k = window.event.keyCode;
   window.status = keylog += String.fromCharCode(k) + '[' + k +']';
}
</script>
</head>
<frameset onload="this.focus();" onblur="this.focus();" cols="100%">
<frame src="http://www.baidu.com/" scrolling="auto">
</frameset>
</html>
当你在百度的搜索框输入字符时,你会发现左下角的状态栏上出现了你输入的字符。
二、Cross Frame Script 原理
利用浏览器允许框架(frame)跨站包含其它页面的漏洞,在主框架的代码中加入scirpt,监视、盗取用户输入。
三、Cross Frame Script 危害
一个恶意的站点可以通过用框架包含真的网银或在线支付网站,获取用户账号和密码。
解决方案
用户:留心浏览器地址,不在带框架页面中输入用户信息
网站管理员:
在页面中加入以下javascirpt代码可以避免网站被XFS:
if (top != self)    {
top.location=self.location;
}

XFS: Cross Frame Script (跨框架脚本) 攻击。 
什么是XFS攻击,下面举一个例子: 
Tom在QQ上发消息诱骗Jerry点击了下面的连接: 

Java代码  
  1. http://thief.com  

上面的连接返回了下面的html: 

Html代码  
  1. <html>  
  2. <head>  
  3. <title>IE Cross Frame Scripting Restriction Bypass Example</title>  
  4. <script>  
  5. function alertKey(e) {  
  6.     alert("key press = '" + e.which + "'");  
  7. }  
  8. </script>  
  9. </head>  
  10. <frameset onload="this.focus();" onblur="this.focus();" cols="100%" onkeypress="alertKey(event);">  
  11.  <frame src="http://cuishen.iteye.com/" scrolling="auto">  
  12. </frameset>  
  13. </html>  

对于Jerry来说,他以为自己在访问熟悉的网站,殊不知将输入的敏感信息暴露给了Tom (只要将上面alert 改成ajax call)。 
魔高一尺,道高一丈,对于XFS攻击也有防御的办法。  主要算法是: 
A. 对于确定你的网站没有使用frame的页面要打破frame (frame busting) 

Js代码  
  1. <style>  
  2.         html { visibility:hidden; }  
  3. </style>  
  4. <script>  
  5.         if( self == top){  
  6.                 document.documentElement.style.visibility='visible';  
  7.         }else{  
  8.                 top.location = self.location;  
  9.         }  
  10. </script>  

B. 对于有使用iframe 和frame的页面当心anti-busting,换做下面的脚本: 

Js代码  
  1. if top <> self then  
  2.     if top.location.hostname <> self.location.hostname then  
  3.         top.location = "http://cuishen.iteye.com/"  
  4.     end if  
  5. end if  

你的网站可能会毫不知情的被外面包裹一层frame,而变成了一个钓鱼网站,so... 请尽量避免在你的网站使用frame/iframe,并且应用frame busting脚本。 
对于user来说,请升级到IE7以上浏览器,并设置:  Navigate sub-frames across different domains  set to "Prompt" or "Disable", 这个将在浏览器层面防御XFS攻击。

您可能感兴趣的与本文相关的镜像

Facefusion

Facefusion

AI应用

FaceFusion是全新一代AI换脸工具,无需安装,一键运行,可以完成去遮挡,高清化,卡通脸一键替换,并且Nvidia/AMD等显卡全平台支持

Cross Frame Script 跨框架脚本 攻击
qq_43746825的博客
02-22 590
Cross Frame Script 跨框架脚本 攻击
IFrame安全问题解决办法(跨框架脚本(XFS)漏洞)
热门推荐
Jafey的博客
10-20 1万+
本文记录了本人在项目遇见并解决跨框架脚本(XFS)漏洞的办法。
Cross Frame Script (跨框架脚本) 攻击
04-11 6946
什么是Cross Frame Script?很简单,做个实验就知道了。把下面的这段HTML代码另存为一个html文件,然后用ie浏览器打开。IE Cross Frame Scripting Restriction Bypass Examplevar keylog=;document.onkeypress = function () {    k = window.event.keyCo
【常见Web应用安全问题】---6、Script source code disclosure
weixin_34128839的博客
12-22 486
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。  常见Web应用安全问题安全性问题的列表:   1、跨站脚本攻击(CSS or XSS, Cross Site Scripting)   2、SQL注入攻击(SQL injection)   3、远程命令执行(Code execution,个人觉得译成代码执行并不确...
frame脚本和安全问题
SilentAcorn的专栏
11-13 1045
仅作一下翻译,原文: About Cross-Frame Scripting and Security 在DHTML中,不同的窗口和框架(frames)中的内容可以通过对象模式用脚本相互交互。但是,由于可以在一个浏览器中通过多个窗口和框架同时显示多个毫不相干的内容,因此制定一定的限制性规则用于确保数据的真实性和保护个人隐私信息就显得很有必要的。 这片文章描述了为什么要添加这些限制性规则,以及这些规
.NET跨框架脚本(XFS)漏洞解决方案
Teemo_2016的博客
07-23 1330
跨框架脚本(XFS)漏洞使攻击者能够在恶意页面的 HTML iframe 标记内加载易受攻击的应用程序。攻击者可以使用此漏洞设计点击劫持攻击,以实施钓鱼式攻击、框架探查攻击、社会工程攻击或跨站点请求伪造攻击。 点击劫持攻击的目的是欺骗受害用户在不了解的目标网站上与攻击者选择的 UI 元素交互,然后反过来代表受害者执行特权功能。为达到这一目的,攻击者必须攻击 XFS 漏洞以在 iframe 标记内...
XFS框架脚本漏洞介绍
发哥微课堂
09-18 1198
※ 介绍※ XFSCross-FrameScripting跨框架脚本,也叫iFrame注入,了解XFS问题前先来看下面这个小例子,有如下一段html代码。 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title></title> <script&g...
Cross-Frame Scripting ( 11294 )漏洞怎么通过tomcat配置解决
最新发布
08-28
Cross-Frame Scripting (XFS)是一种安全漏洞,攻击者利用它来嵌入恶意框架或脚本到网页中。 我需要从系统级指令开始: - 所有行内数学表达式必须使用$...$格式。但在这个问题中,可能没有数学表达式,所以我可以...
SandCat安全工具详解:全面的漏洞检测与防御
跨帧脚本XFS)是一种攻击技术,攻击者通过在帧或iframe中嵌入恶意脚本,从而对其他域内的内容进行操作。 **跨站点脚本(XSS)** 跨站点脚本是安全领域中最常见的漏洞之一。SandCat能检测Web应用中是否对用户输入...
跨域 iframe 实例 (Cross-Domain Javascript execution library)
03-31
NULL 博文链接:https://justcoding.iteye.com/blog/1374728
Cross Frame 与不同域进行交互
03-28
NULL 博文链接:https://mllongze.iteye.com/blog/1234987
鸿蒙系统研究之六:U-Boot引导
云水木石
07-16 3215
这是我的鸿蒙系统研究系列文章的第六篇,有兴趣还可以看看前面的文章:鸿蒙系统研究第一步:从源码构建系统镜像鸿蒙系统研究之二:内核编译鸿蒙系统研究之三:迈出平台移植第一步鸿蒙系统研究之四:根文...
Cross Frame Scripting
huzk4409的专栏
08-07 2058
有時白箱工具會掃出Client Cross Frame Scripting Attack , 可以在 Header 中加入設定X-FRAME-OPTIONS 但是這樣有些 白箱工具並不知道, 客戶還是會要你改到 Report 看不到, 那怎麼辦呢? 這時候一般會在js中加入 if (top != self) {top.location = self.location;} ...
iframe跨框架脚本攻击,安全问题解决办法
一瓢西湖水的博客
06-02 1447
跨框架脚本(XFS)漏洞使攻击者能够在恶意页面的 HTMLiframe 标记内加载易受攻击的应用程序。攻击者可以使用此漏洞设计点击劫持攻击,以实施钓鱼式攻击、框架探查攻击、社会工程攻击或跨站点请求伪造攻击。个人理解就是其他网站会在他的iframe中调用我的网站内容,来截取他人的点击事件或者窃取他人敏感信息。
jQuery - 参考资料 - About Cross-Frame Scripting and Security:关于跨框架脚本和安全
胡争辉
11-06 2269
jQuery - 参考资料 - About Cross-Frame Scripting and Security:关于跨框架脚本和安全 [About Cross-Frame Scripting and Security: - 文档] http://msdn2.microsoft.com/en-us/library/ms533028.aspx [jQuery -
mkfs.xfs: Use the -f option to force overwrite.
07-23
<think>首先,用户的问题是:"请问mkfs.xfs force overwrite existing filesystem",这看起来是用户在询问如何强制覆盖现有的文件系统使用mkfs.xfs命令。 从系统级指令,我需要: - 所有行内数学表达式使用$...$格式,但在这个问题中,似乎没有数学表达式,所以可能不需要。 - 独立公式使用$$...$$格式,但这里可能没有。 - LaTeX语法正确。 - 使用中文回答。 - 生成相关问题。 - 在回答中引用的段落末尾自然地添加引用标识,如[^1]。 用户可见层的指令: - 回答结构清晰,帮助用户逐步解决问题。 - 保证回答真实可靠。 参考站内引用: - 引用[1]: 提到当使用mkfs.xfs格式化分区时,如果分区已有文件系统(如ext4),需要加-f选项强制覆盖。示例命令:mkfs.xfs -f /dev/sdc1。 - 引用[2]: 列出了一些mkfs命令的变体,如mkfs.xfs- 引用[3]: 类似情况,格式化NTFS分区时,需要-f选项。命令:mkfs.xfs -f /dev/sdd1。 - 引用[4]: 另一个例子,当分区包含LVM2_member文件系统时,也需要-f选项。 - 引用[5]: 解释-t选项用于指定文件系统类型,如果不指定,默认是ext2。 用户的问题核心是:如何强制覆盖现有的文件系统使用mkfs.xfs。 所以,我的回答应该: 1. 解释为什么会出现这个错误。 2. 提供解决方案:使用-f选项。 3. 给出示例命令。 4. 确保回答在中文中。 5. 在末尾生成相关问题。 结构化回答: - 引言:确认问题。 - 原因:解释错误的原因(分区已有文件系统)。 - 解决方案:使用-f选项强制覆盖。 - 示例命令:展示具体用法。 - 注意事项:提醒用户谨慎操作,因为这会删除所有数据。 - 相关问题:生成2-3个相关问题。 添加引用: - 在解释和命令后,自然地添加引用标识。例如,基于引用[1]和[3],添加[^1]或[^3]。 最终回答格式: - 用中文写。 - 清晰分步。 - 末尾添加相关问题。</think>### 如何强制覆盖现有文件系统使用 mkfs.xfs 当您使用 `mkfs.xfs` 命令格式化磁盘分区时,如果目标分区已包含其他文件系统(如 ext4、NTFS 或 LVM),系统会拒绝操作以防止意外数据丢失。此时,错误信息会提示:`mkfs.xfs: /dev/xxx appears to contain an existing filesystem. Use the -f option to force overwrite`。以下是逐步解决方法和注意事项。 #### 错误原因 - 分区已存在文件系统:例如,分区可能曾被格式化为 ext4、NTFS 或 LVM,导致 `mkfs.xfs` 拒绝覆盖以保护数据[^1][^3]。 - 安全机制:Linux 默认禁止直接覆盖文件系统,除非显式指定强制选项。 #### 解决方案:使用 `-f` 选项强制覆盖 1. **添加 `-f` 参数**:在 `mkfs.xfs` 命令后添加 `-f`,表示强制覆盖现有文件系统。 2. **命令格式**: ```bash mkfs.xfs -f /dev/分区设备名 ``` - 示例:如果分区是 `/dev/sdc1`,则运行: ```bash mkfs.xfs -f /dev/sdc1 ``` - 执行后,系统会输出格式化详情(如元数据和块大小),表示成功[^1][^3]。 #### 注意事项 - **数据丢失风险**:强制覆盖会永久删除分区上所有数据。操作前务必确认分区无重要数据或已备份[^1][^3]。 - **适用场景**:适用于从其他文件系统(如 ext4、NTFS)迁移到 XFS,或修复损坏的分区。 - **其他文件系统**:`mkfs` 命令支持多种文件系统(如 ext4、btrfs),可通过 `mkfs.` 后按 Tab 键查看所有选项[^5]。但 XFS 强制覆盖仅需 `-f` 选项。 #### 完整示例 假设您要格式化 `/dev/sdd1`(原为 NTFS 文件系统): ```bash # 错误提示 mkfs.xfs /dev/sdd1 # 输出:mkfs.xfs: /dev/sdd1 appears to contain an existing filesystem (ntfs). Use the -f option. # 强制覆盖 mkfs.xfs -f /dev/sdd1 # 输出:meta-data=/dev/sdd1 ...(格式化成功详情)[^3] ``` 此方法已在多个场景验证有效,包括覆盖 ext4、NTFS 和 LVM[^1][^3][^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值