从Avast杀毒软件发现价值5000美金的反射型XSS
来源:岁月联盟
时间:2020-01-29
攻击者可以用 “ >
https://brutelogic.com.br/blog/shortest-reflected-xss-possible/
https://github.com/s0md3v/AwesomeXSS
短型XSS Payload
一开始,我成功构造的弹窗,但不知如何深入利用,后来得益于Brute Logic 和 S0md3v的一些研究,我形成了短型XSS Payload,有效实现了预期效果。
漏洞影响版本
经测试,在Windows 10系统下,该漏洞影响以下产品:
Avast Internet Security 版本 19.3.2369 (build 19.3.4241.440),以及Avast Free Antivirus的Premiere类型产品
**G Internet Security 版本 19.3.3084 (build 19.3.4241.440)
漏洞危害
攻击者利用Avast的网络接入提示(Avast Network Notification )弹窗,在接入的无线网络SSID中嵌入恶意URL链接,经解析显示,伪造成某些重要的登录窗口,诱导Avast用户输入相关密码凭据,以此在后台实现用户信息窃取。
上一页 [1] [2]
下一篇:被动扫描器之插件篇
