猥琐的notclickjacking

amxku 发表于 2008-09-26, 15:53. 发表在: 技术相关

很猥琐的submitjacking,在群里看到的。应该不是owasp里提到的clickjacking,但也挺有意思,OWASP会议上的Clickjacking可以看看刺写的OWASP会议上的Clickjacking

XML/HTML代码
  1. <form name="my_form_tres" action=""  
  2. onSubmit=window.open("http://www.example.com")>  
  3. <input type="submit" id="my_submit_button_tres"  
  4. style="position:absolute;left:0px;visibility:hidden;"/>  
  5. <a href="http://www.breakingpointsystems.com"  
  6. onMouseUp=document.getElementById('my_submit_button_tres').click()>Fake   
  7. link (onmouseup and click)</a>    
  8. </form>  

可参见http://www.planb-security.net/notclickjacking/

Tags: submitjacking , 脚本 , 技术

上一篇:搬家
下一篇:PHP in the Register Globals

相关文章

访客评论( 4 楼)

  1. #1 kiki
    2008-09-26, 21:34:57
    有点意思啊。哈哈
  2. #2 laozang
    2008-09-27, 22:45:59
    交换链接,贵站链接已加上

    本站地址:http://lovelaozang.cn

    老臧's blog - 网络安全技术博客|致力于linux.PHP.Server.Mysql.Security
  3. #3 nuke
    2008-09-28, 01:35:24
    <a onmousemoveover=window.open("http://www.baidu.com")
    href="http://www.163.com/">我是去163的</a>
  4. #4 nuke
    2008-09-28, 01:35:53
    更短跟强大

发表评论

评论内容 (必填):