Javascript in IE 可以伪造整个屏幕发布时间:2001-10-22 更新时间:2001-10-22 严重程度:中 威胁程度:欺骗 错误类型:设计错误 利用方式:客户机模式 受影响系统 IE 5.5/6.0详细描述 此问题不属于安全问题但与安全有一定联系,WEB页可以包含JAVASCRIPT来接管整个屏幕,如菜单,对话框,任务栏,时钟等,这就允许欺骗包含在IE中的信息,这表示一脚本可以初始化一IE对话框如: "You are downloading malicous.exe from malicous.com - 'Open | Cancel |more info'" 可以提示用户执行某一些JAVASCRIPT代码等。 测试代码 ------------------- op=window.createPopup(); op.document.body.innerHTML="...html..."; op.show(0,0,screen.width,screen.height,document.body); ------------------- 演示页: http://www.guninski.com/opf2.html BSOD模拟: http://www.guninski.com/bsod1.html 解决方案 尚无 相关信息 Georgi Guninski http://www.guninski.com |
