猥琐的notclickjacking

amxku 发表于 2008-09-26, 15:53. 发表在: 技术相关

很猥琐的submitjacking,在群里看到的。应该不是owasp里提到的clickjacking,但也挺有意思,OWASP会议上的Clickjacking可以看看刺写的OWASP会议上的Clickjacking

XML/HTML代码
  1. <form name="my_form_tres" action=""  
  2. onSubmit=window.open("http://www.example.com")>  
  3. <input type="submit" id="my_submit_button_tres"  
  4. style="position:absolute;left:0px;visibility:hidden;"/>  
  5. <a href="http://www.breakingpointsystems.com"  
  6. onMouseUp=document.getElementById('my_submit_button_tres').click()>Fake   
  7. link (onmouseup and click)</a>    
  8. </form>  

可参见http://www.planb-security.net/notclickjacking/

关键词: submitjacking , 脚本 , 技术

上一篇: 搬家
下一篇: PHP in the Register Globals

相关文章
访客评论
#1
回复 kiki 2008-09-26, 21:34:57
有点意思啊。哈哈
#2
回复 laozang 2008-09-27, 22:45:59
交换链接,贵站链接已加上

本站地址:http://lovelaozang.cn

老臧's blog - 网络安全技术博客|致力于linux.PHP.Server.Mysql.Security
#3
回复 nuke 2008-09-28, 01:35:24
<a onmousemoveover=window.open("http://www.baidu.com")
href="http://www.163.com/">我是去163的</a>
#4
回复 nuke 2008-09-28, 01:35:53
更短跟强大
发表评论

评论内容 (必填):