1.38 框架注入漏洞
攻击者有可能注入含有恶意内容的 frame 或 iframe 标记。如果用户不够谨慎,就有可能浏览该标记,却意识不到自己会离开原始站点而进入恶意的站点。之后,攻击者便可以诱导用户再次登录,然后获取其登录凭证。
钓鱼
挂黑链
诱导下载
前端挖矿
一般的漏扫工具目前都已集成框架注入扫描
手工寻找类似
http://192.168.0.100/bWAPP/iframei.php?ParamUrl=index.php&ParamWidth=800&ParamHeight=500
的url
1、 直接注入框架或者代码
如注入百度
常见payload如下
<iframe src=”http://www.freebuf.com”></iframe><iframe src=’http://freebuf.com/’ width=’500′ height=’600′ style=’visibility: hidden;’></iframe>
2、进行xss(xfs)
构造类似的url
http://192.168.0.100/bWAPP/iframei.php?ParamUrl=robots.txt&ParamWidth=250&ParamHeight=250"></iframe><script>alert(1);</script>
1、严格过滤用户输入的数据。
2、参考跨站脚本漏洞修复方案。
Last updated 1 year ago