通过框架钓鱼漏洞

漏洞简述

攻击者可通过社工对用户或者管理员进行钓鱼，造成不同程度的危害（比如，获取用户cookie，欺骗用户或管理员下载木马、病毒等）

漏洞实例

构造钓鱼payload：

http://183.240.148.101:8001/geomap-api/lucene?api=jsApi&keywords=%27%22%3E%3Ciframe%20src=%22https://www.baidu.com%22%20style=%22width:2000px;height:800px;%22%3E

漏洞修复

对用户输入的恶意字符进行过滤。
严格遵守规范的可接受输入的白名单。
拒绝任何没有严格遵守规范的输入，或者将其转换为遵守规范的内容。
不要完全依赖于针对恶意或格式错误的输入的黑名单。

Previous未授权访问漏洞 Next业务逻辑漏洞

Last updated 4 years ago

Was this helpful?