浏览器URI漏洞比预想的更糟
前端技术 / houtizong 发布于 3年前 68
Windows系统上一个少有人知道的功能可能成为影响网络冲浪的大问题。过去几个月,自从安全研究员Thor Larholm展示了如何通过向Firefox发送畸形数据(malformed data)来欺骗浏览器之后,URI (Uniform Resource Identifier)bug正变成一个热门话题。这个bug允许攻击者在受害者电脑上运行未被授权的软件。现在安全专家Billy Rios 和Nathan McFeters说他们发现了更多的方法,攻击者可能会滥用URI协议处理技术去窃取受害者电脑上的数据。
使用已定制好的URI协议名,软件开发者的本意是让用户操作更轻松。Windows注册表跟踪这些名字并将其与程序联系起来,这可让你直接通过浏览器运行程序。例如AOL的IM客户端名是"aim." ,点击超链接“aim:goim”或在浏览器地址栏输入“aim:goim”,你就可直接打开AIM的聊天窗口。
但是如果这项技术被滥用,“通过URI偷取用户电脑内容并按攻击者选择上传到一个远程服务器上是完全有可能的,所有这一切都是通过软件提供的功能实现的。“ Ernst & Young Global Ltd高级安全顾问McFetters说道。
使用已定制好的URI协议名,软件开发者的本意是让用户操作更轻松。Windows注册表跟踪这些名字并将其与程序联系起来,这可让你直接通过浏览器运行程序。例如AOL的IM客户端名是"aim." ,点击超链接“aim:goim”或在浏览器地址栏输入“aim:goim”,你就可直接打开AIM的聊天窗口。
但是如果这项技术被滥用,“通过URI偷取用户电脑内容并按攻击者选择上传到一个远程服务器上是完全有可能的,所有这一切都是通过软件提供的功能实现的。“ Ernst & Young Global Ltd高级安全顾问McFetters说道。
上一篇:Everett@50视频上网
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
技术博客集 - 网站简介:
前后端技术:
后端基于Hyperf2.1框架开发,前端使用Bootstrap可视化布局系统生成
网站主要作用:
1.编程技术分享及讨论交流,内置聊天系统;
2.测试交流框架问题,比如:Hyperf、Laravel、TP、beego;
3.本站数据是基于大数据采集等爬虫技术为基础助力分享知识,如有侵权请发邮件到站长邮箱,站长会尽快处理;
4.站长邮箱:[email protected];
文章归档
文章标签
友情链接
