Microsoft Internet Explorer多个脚本执行漏洞

Microsoft Internet Explorer多个脚本执行漏洞(2) or
http://umbrella.mx.tc
---> WsFakeSrc section
---> WsFakeSrc-MyPage file

[exp]
window.open("javascript:[JpuScript]","_search")
authorization checks "window.opener".

但是[VictimWindow].open是一直可访问的。
因此：

window.open("[VictimUrl]","_search");
[VictimIframe].open("javascript:[JpuScript]","_search");

可以欺骗认证和在search窗口上执行[JpuScript]恶意代码。

3、WsBASEjpu

演示页面如下：

http://www.safecenter.net/liudieyu/WsBASEjpu/WsBASEjpu-MyPage.HTM
or
http://umbrella.mx.tc
---> WsBASEjpu section
---> WsBASEjpu-MyPage file

window.open("javascript:[JpuScript]","_search")
在BASE标记中使用Href属性可使得URL检查绕过。

4、RefBack

演示页面如下：

http://www.safecenter.net/liudieyu/RefBack/RefBack-MyPage.HTM
or
http://umbrella.mx.tc
---> RefBack section
---> RefBack-MyPage file

在UMBRELLA.MX.TC中引用BackMyParent，另一种方法执行"[VictimWindow].history.back()"。

5、NAFjpuInHistory

演示页面如下：

http://www.safecenter.net/liudieyu/NAFjpuInHistory/NAFjpuInHistory-MyPage.HTM
or
http://umbrella.mx.tc
---> NAFjpuInHistory section
---> NAFjpuInHistory-MyPage file

在UMBRELLA.MX.TC中引用BackMyParent。

调用window.open("javascript:[JpuScript]")，然后使用"NavigateAndFind"浏览 [VictimUrl]，最后javascript-protocol Url在历史列表的左边。

6、NAFfileJPU

演示页面如下：

http://www.safecenter.net/liudieyu/NAFfileJPU/NAFfileJPU-MyPage.HTM
or
http://umbrella.mx.tc
---> NAFfileJPU section
---> NAFfileJPU-MyPage file

在浏览器中尝试访问如下Url:

file:javascript:alert(123)

"file"协议可以绕过基于URL的安全检查，其中有漏洞的函数是"window.external.NavigateAndFind"方法。

7、LinkillerSaveRef

演示页面如下：

http://www.safecenter.net/liudieyu/LinkillerSaveRef/LinkillerSaveRef-MyPage.HTM
or
http://umbrella.mx.tc
---> LinkillerJPU section
---> LinkillerJPU-MyPage file

在UMBRELLA.MX.TC上引用"Linkiller"，另一个基于caller的验证。如果root-caller是目标受害者"method caching attack"仍旧可以成功攻击。

<*来源：Liu Die Yu （liudieyuinchina@yahoo.com.cn）