百度桌面和IE漏洞可能导致网络钓鱼攻击

百度桌面和IE漏洞可能导致网络钓鱼攻击

Matton Gillon发布了一份概念验证报告，解释了如何利用Microsoft的Internet Explorer通过百度 Desktop访问个人信息。 Gillon写道，Zui近有可能利用百度 Desktop通过网站远程数据检索个人用户数据。并且由于Internet Explorer中存在严重的设计缺陷，我设法显示它可能通过利用此漏洞隐蔽地对网站访问者进行搜索。＆rdquo;

Gillon接着在hacker.co.il上解释了发布过程中的过程＆ldquo;百度桌面暴露:利用Internet Explorer漏洞攻击用户信息＆ldquo; Gillon解释了IE CSS导入中的安全漏洞以及如何通过百度桌面:访问百度帐户

通常，浏览器通过Web浏览器对跨域交互施加强大限制。某个网页可以使用户浏览到不同的域。但是，它可能无法读取检索到的页面的内容，也无法操纵其任何DOM对象。实施此限制是因为一个网站所有者无法使用Javascript监视用户的上网习惯。

此外，如果用户已经登录某个服务（例如Gmail或Hotmail），则恶意网页可能已经在用户的帐户中执行了某些操作（例如打开电子邮件并阅读它），如果这些限制不是＆rsquo;到位。在IE中，这些限制得到了彻底的保护，但在CSS导入方面却被打破了。我将此攻击称为CSSXSS或级联样式表跨站点脚本。

我们期待百度对Gillon的百度桌面网络钓鱼研究做出回应。