IE 6.0存在信息泄露本地文件可读漏洞发布时间:2001-12-21 更新时间:2001-12-21 严重程度:高 威胁程度:读取受限文件 错误类型:意外情况处置错误 利用方式:物理接触 受影响系统 Internet Explorer 6.0详细描述 通过简单的使用document.open而不使用document.close方法,攻击者可以窃取 Cookie,读本地文件,伪造站点内容等。 测试代码 http://www.osioniusx.com有演示页面 "cookieStealing.html" 是打开yahoo.com和窃取COOKIE的演示 "FileReading.html" 是读取c:\test.txt文件的演示 "SiteSpoofing.html" 是伪造www.chase.com(银行)的站点并连接到www.osioniusx.com. 解决方案 尚无 相关信息 osioniusx at yahoo.com 参考:http://www.securiteam.com/windowsntfocus/6B00L003FU.html |
