专业黑客先做事后付款3(靠谱的黑客看过来)

访客4个月前微信接单黑客56
以下所有的内容全部经过我在IE7中测试,是真实有效的结果。Iframe的限制:因为iframe这个玩意比较特殊,所以浏览器对它一般都有一些限制。首先父窗口不能控制子窗口的js,只能读取一些对象;子窗口也不能使用父窗口的js,也只能读部分对象,更多的比如document啥的都限制了。关系如下:- iframe's should not be able to view content/cookies from another domain- iframe children CAN view certain properties and execute certain behaviors- parent.window.blur- parent.window.opener- parent.window.length- others- iframe children CAN redirect the parent frame to a new location (great for phishing)- parent.location.href- parent.window.location对于有些利用子窗口执行父窗口js的方法是限制的比如,在子窗口里可以这么使用:parent.location.href="http://www.sohu.com";上面的语句将把父窗口重新定义到sohu的网站去.但是如果想执行js,或者是读取document对象,则会被拒绝访问parent.location.href=new String("javascript:alert(document.cookie)");parent.location.href=new String("javascript:alert(1)");像这两条都会被拒绝。对于iframe,Firefox3 居然是不限制本地cookie发送的!也就是说,在Firefox环境里,使用iframe包含一个远程页面,是会将保存在本地的cookie发送出去的,这使得CSRF会非常之方便。但是IE不同,对于IE环境中,img和iframe标签都只能发送session cookie,无法发送本地cookie,所以很多时候CSRF会失败,这也会给XSS带来很大的麻烦,比如会使得XSRF更困难一些。鉴于Firefox一点挑战都没有,所以今天主要研究的对象是IE。在IE环境下,程序员们一般都是使用P3P协议来获取跨域cookie的,但是P3P也要求我们改写HTTP头,更麻烦,在这里,我纯粹使用一些脚本的技巧来突破这些限制。突破IFRAME限制的思路:(以下都是在IE环境中)由于页面里的iframe都是发送的session cookie,所以子框架页面里本身是只有一个session cookie的,我们无法通过在子框架里执行js的方法来获取本地cookie,无中生有的事情是干不出来的。了解这一原理后,思路就很明确了:想办法新起一个不受限制的窗口,从而获取本地cookie。具体来说,有这么两个办法:1、 使用window.open打开一个新窗口2、 回到父窗口,让其打开一个新窗口在子框架中,使用window.open()确实可以发送本地cookie,但是问题是浏览器一般会限制页面弹窗口,会被拦截,所以这个方法比较囧~~,不是个好办法。而第二个办法,回到父窗口去打开新窗口,就涉及到一个突破iframe执行脚本的问题,而这个问题在我的前一篇Cross Iframe Trick 里已经解决了,所以我们的方法就呼之欲出了。利用Cross Iframe Trick突破iframe限制获取子框架cookie:

相关文章

黑客在淘宝上叫什么 专业接单黑客联系方式

0x00AceNet简介0×01环境概述0×02漏洞概述0×03后门分析0×04漏洞修复作者:itleaf0x00AceNet简介 AceNet Technology Inc. 成立于2003年,总部...

如何找正规的黑客找黑客需要多少钱

这是“黑客”在web网站留下的网页后门程序,一般由一些网页程序编写,来执行一些特殊的功能。如PHP、ASP等。如它可以执行某些命令,如果web网站管理员对服务器权限设置出现漏洞。“黑客”可以通过它,直...

安全正规的黑客网站哪里有?专业黑客接单的网站

入侵渗透涉及许多知识和技术,并不是一些人用一两招就可以搞定的。一,踩点踩点可以了解目标主机和网络的一些基本的安全信息,主要有;1,管理员联系信息,电话号,传真号;2,IP地址范围;3,DNS服务器;4...

怎么破解微信密码不被发现?怎样把对方微信盗了

首先,根据版本的不同,TNS listener可能较易受到多种类型的缓冲区溢出攻击,这些攻击可以在不提供用户ID和口令的情况下被利用。例如:在oracle 9i中,当客户机请求某个过长的service...

「怎么查别人已删除的微信聊天记录」想查对方记录怎么查

最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle 请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的...

什么软件可以监控他人的微信聊天记录?怎么监听老婆手机微信?

Rootkit是一个或者多个用于隐藏、控制一台计算机的工具包,该技术被越来越多地应用于一些恶意软件中。在基于Windows的系统中Rootkit更多地用于隐藏程序或进程,系统被注入Rootkit后就可...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。