漏洞标题
N/A
漏洞描述信息
Internet Explorer 6 SP1 及更早版本允许远程攻击者绕过区域限制,方法如下:(1)使用NavigateAndFind方法加载文件:包含JavaScript的URL,如NAFfileJPU演示的;(2)使用窗口.打开方法加载文件:包含JavaScript的URL,如使用WsOpenFileJPU演示的;(3)使用WsBASEjpu演示的base tag中href属性设置_搜索窗口的元标签,如使用WsFakeSrc演示的;(4)将搜索窗口加载到一个iframe中,如使用WsFakeSrc演示的;(5)在浏览器历史中缓存一个JavaScript:URL,然后访问目标域名同一层 iframe 中的该 URL,如使用WsOpenJpuInHistory、NAFjpuInHistory、BackMyParent、BackMyParent2和RefBack演示的,aka“脚本URL跨域”漏洞。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Internet Explorer 6 SP1 and earlier allows remote attackers to bypass zone restrictions by (1) using the NavigateAndFind method to load a file: URL containing Javascript, as demonstrated by NAFfileJPU, (2) using the window.open method to load a file: URL containing Javascript, as demonstrated using WsOpenFileJPU, (3) setting the href property in the base tag for the _search window, as demonstrated using WsBASEjpu, (4) loading the search window into an Iframe, as demonstrated using WsFakeSrc, (5) caching a javascript: URL in the browser history, then accessing that URL in the same frame as the target domain, as demonstrated using WsOpenJpuInHistory, NAFjpuInHistory, BackMyParent, BackMyParent2, and RefBack, aka the "Script URLs Cross Domain" vulnerability.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Microsoft Internet Explorer 安全漏洞
漏洞描述信息
Microsoft Internet Explorer(IE)是美国微软(Microsoft)公司的一款Windows操作系统附带的Web浏览器。 Microsoft Internet Explorer存在安全漏洞。。Microsoft Internet Explorer在处理搜索栏(Search panes)时对输入缺少充分过滤,远程攻击者可以利用这个漏洞构建恶意链接,诱使用户访问,可获得敏感信息。问题是当搜索栏通过'window.open'方法打开时搜索地址属性缺少充分过滤,当目标用户打开此链接时,包
CVSS信息
N/A
漏洞类别
其他