前言
一直認為通過postMessage進行的DOM XSS是一個被低估的漏洞,并且大多數白帽子都沒有注意到它的安全價值。
最近一段時間,開始研究用戶端漏洞,比如尋找XSS,JSONP和postMessage問題。
但是XSS和JSONP漏洞已經很難發現了,浏覽器相繼引入SameSite Cookie以來,這些漏洞也将要消失了。
是以,我的關注點更熱衷研究postMessage漏洞,因為大家往往很容易忽略它,但是它非常容易發現,無需要太多的技巧。
為簡化起見,建立了一個Chrome擴充程式來檢視/記錄網頁上發生的跨域通信。
在https://developers.facebook.com網站,開始研究Facebook的第三方插件。
該Facebook Login SDK for JavaScript建立了一個PHP檔案/v6.0/plugins/login_button.php用于跨域通信的iframe代理架構。
iframe代理架構頁呈現Continue with Facebook按鈕,但有趣的是javascript SDK将初始化資料發送到包含按鈕點選URL的iframe代理架構頁。登入SDK的流程如下。
![Dragon家族最新變種病毒. dragon字尾勒索病毒卷土重來[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)