`
cuishen
  • 浏览: 297254 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

XFS攻击一例

    博客分类:
  • j2ee
XFS脚本js攻击security 
阅读更多
XFS: Cross Frame Script (跨框架脚本) 攻击。

什么是XFS攻击,下面举一个例子:

Tom在QQ上发消息诱骗Jerry点击了下面的连接: 
http://thief.com

上面的连接返回了下面的html: 
<html>
<head>
<title>IE Cross Frame Scripting Restriction Bypass Example</title>
<script>
function alertKey(e) {
	alert("key press = '" + e.which + "'");
}
</script>
</head>
<frameset onload="this.focus();" onblur="this.focus();" cols="100%" onkeypress="alertKey(event);">
 <frame src="http://cuishen.iteye.com/" scrolling="auto">
</frameset>
</html>

对于Jerry来说,他以为自己在访问熟悉的网站,殊不知将输入的敏感信息暴露给了Tom (只要将上面alert 改成ajax call)。

魔高一尺,道高一丈,对于XFS攻击也有防御的办法。
主要算法是:

A. 对于确定你的网站没有使用frame的页面要打破frame (frame busting) 
        <style>
                html { visibility:hidden; }
        </style>
        <script>
                if( self == top){
                        document.documentElement.style.visibility='visible';
                }else{
                        top.location = self.location;
                }
        </script>

B. 对于有使用iframe 和frame的页面当心anti-busting,换做下面的脚本: 
if top <> self then
    if top.location.hostname <> self.location.hostname then
        top.location = "http://cuishen.iteye.com/"
    end if
end if


你的网站可能会毫不知情的被外面包裹一层frame,而变成了一个钓鱼网站,so... 请尽量避免在你的网站使用frame/iframe,并且应用frame busting脚本。

对于user来说,请升级到IE7以上浏览器,并设置:
Navigate sub-frames across different domains
set to "Prompt" or "Disable", 这个将在浏览器层面防御XFS攻击。
0
0
分享到:
| XSS攻击一例
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    XFS.rar_WOSA_XFS_WOSA/XFS_XFS 3.20 SDK安装_XFS 摄像头_wosa

    XFS是一种广泛应用在银行自助设备、ATM机和POS终端等领域的接口规范,它为硬件制造商和软件开发者提供了一个统一的接口,使得硬件设备的驱动程序可以独立于具体的应用软件。本资料主要关注的是XFS 3.20版本的SDK安装...

    xfs安装包(redhat)

    在Red Hat Enterprise Linux (RHEL) 6操作系统中,XFS是一种高性能、日志式的文件系统,被广泛用于存储大量数据。XFS以其强大的扩展性、稳定性和效率而备受推崇,尤其适合大型数据库、虚拟化环境和高I/O工作负载。在...

    WOSA-XFS.rar_XFS_windows xfs_wosa_xfs wosa

    标题中的"WOSA-XFS.rar"表明这是一个关于WOSA(Windows Open Services Architecture)与XFS文件系统的结合,用于Windows平台的压缩文件。"XFS_windows xfs_wosa_xfs wosa"这部分描述可能是在强调XFS在Windows环境下...

    raise data recovery for XFS

    《XFS文件系统数据恢复详解——以"Raise Data Recovery for XFS"为例》 在数字化时代,数据的重要性不言而喻。尤其对于依赖于Linux操作系统的企业和个人用户来说,XFS文件系统因其高效、稳定和可扩展性而广受欢迎。...

    XFS_setup_302

    XFS是一种高性能、可扩展的文件系统,广泛用于Linux操作系统,尤其在大数据处理和企业级存储解决方案中。这个名为“XFS_setup_302”的压缩包可能包含了用于安装或配置XFS文件系统的工具或者指南。 XFS文件系统最初...

    XFS310安装包,XFS310中文文档,XFS310英文文档;

    XFS310是一款针对金融自助设备开发的接口标准,由WOSA(Worldwide Operator Specification Alliance)组织制定,主要用于ATM(自动取款机)、CDM(现金存款机)和其他金融自助服务终端。该标准提供了统一的软件接口...

    CEN/XFS协议第一部分

    ### CEN/XFS协议第一部分知识点详解 #### 一、文档概述 本文档重点解析了CEN/XFS协议的第一部分,这部分内容被视为开发SP(Service Provider,服务提供商)及基于XFS(eXtensible Financial Services)的ATM...

    xfs_undelete-master.zip

    【标题】"xfs_undelete-master.zip" 指的是一个包含 "xfs_undelete-master" 项目的压缩文件。这个项目很可能是一个用于恢复XFS文件系统的已删除文件的工具。XFS是Linux操作系统中广泛使用的高性能日志文件系统。 ...

    XFS硬件错误对照表

    XFS(Extended Financial Services)是欧洲标准化委员会(CEN)发布的一种金融服务接口标准,旨在提供金融机构之间的数据交换和处理。XFS硬件错误对照表是XFS接口的一部分,用于硬件设备报错时查看SP报错信息,并...

    xfs工具.zip

    XFS是一种日志文件系统,由Silicon Graphics, Inc.(SGI)开发,设计目标是提供高性能、高可靠性以及对大文件和大文件系统的支持。它采用了先进的数据结构和算法,使得在处理大量数据时表现出色,尤其适合大数据分析...

    XFS-MANAGER

    【XFS-MANAGER】是针对WOSA(Windows Operating System Adaptation)平台设计的一款管理工具,主要用于管理和控制XFS接口的硬件设备。XFS,全称“Extended File System”,并非传统的文件系统,而是银行自助服务设备...

    XFS-0.1-XFS_Filesystem_Structure-en-US.pdf

    XFS是一种高性能、可扩展的文件系统,广泛用于Linux操作系统中。本文档“XFS Filesystem Structure”详细阐述了XFS文件系统在磁盘上的结构和工作原理,为理解和使用XFS提供了深入的见解。 1. 引言 在1.1章节中,...

    XFSDeviceProgramming_XFS_

    XFS,全称eXtended File System,是SGI公司开发的一款高性能、日志型的文件系统。XFS在Linux内核中被广泛使用,因其出色的性能、可扩展性和可靠性而备受赞誉。本文将深入探讨XFS的主要特性和在应用程序开发中的使用...

    XFS5152CE参考资料

    XFS5152CE参考资料 技术文档

    xfs的sp的实例

    XFS(银行设备接口规范)是一种广泛应用在金融自助设备中的标准接口,它为上层应用软件提供了一种与底层硬件设备交互的统一方式。SP(Service Provider)是XFS规范中的一个重要组件,它是实现XFS接口的具体服务程序...

    WOSA/XFS 3.30 标准文档

    WOSA(Windows Open Services Architecture)/XFS(eXtended Financial Services)是一种国际标准,它定义了银行自助设备(如自动取款机ATM、存款机CDS等)与操作系统之间交互的接口。这个标准的主要目的是为了实现...

    XFS-0.1-XFS_Labs-en-US.pdf

    xfs labs :A guide for XFS filesystem users and administrators英文文档,很直观的讲解xfs使用 xfs文件系统用户手册,讲解xfs文件系统的使用、原理、设计

    xfs_filesystem_structure

    XFS 是一种高性能的日志文件系统,最初由 Silicon Graphics Inc. 开发,现在广泛应用于多种 Linux 发行版中。它被设计为可扩展并支持大容量存储设备。本文档将详细介绍 XFS 文件系统的内部结构,包括其数据结构、...

    XFS3.0中文翻译

    **XFS3.0中文翻译**是对XFS文件系统接口的详细解读,旨在帮助中文用户更好地理解和使用这一高效、可扩展的文件系统。XFS最初由Silicon Graphics, Inc.开发,现已成为Linux内核的一部分,广泛应用于各种服务器和存储...

Magicbox
Global site tag (gtag.js) - Google Analytics