新年新气象,这个蠕虫我做了小范围测试,也提交了官方修复,小圈子里做了分享,这里正式对外公布下,出于研究而非破坏为目的,供大家参考。
IAMANEWBOTNAMEDCORSBOT
——-BOT PoC——-
http://evilcos.me/lab/IAMANEWBOTNAMEDCORSBOT.TXT
完整代码直接见上面这个链接即可。
里面需要特别注意的两个点:
- Conten-Type是JSON
- Origin是:huaban.com.al3rt.io,这个小技巧直接绕过花瓣的Origin判断
标签:HTML5
关于浏览器混合内容的安全性
Seebug Paper之前收录了三篇文章有些关联性,分别是:
- 绕过混合内容警告 – 在安全的页面加载不安全的内
http://paper.seebug.org/112/ - 检测本地文件躲避安全分析
http://paper.seebug.org/87/ - 基于浏览器的指纹识别:影响和缓解措施
http://paper.seebug.org/64/
有个关键点是:混合内容的安全性。
这里提到的主要是协议的混合,如https/http/file/res/mhtml等,现代浏览器逐渐开始隔离这些协议,比如https下加载http的内容时,给出安全提示;再比如“修补”file/res/mhtml这些协议在http协议的网页里带来的安全问题,如本地文件探测(常见的是杀软探测)。