Edge 浏览器被爆存在 XSS 绕过漏洞

来自知名安全测试套件Burp Suite厂商PortSwigger的安全专家Gareth Heyes近日在微软Edge浏览器的内置XSS过滤器存在绕过漏洞,这就意味着尽管微软在Edge浏览器中进行了大量的安全策略部署,但用户浏览网页的时候依然有可能让攻击者通过这种方式在Edge浏览器中执行恶意JavaScript脚本。

XSS 过滤器目前出现在大部分浏览器上,目的是为了从浏览器级别阻止XSS(跨网站脚本攻击),从而阻止针对网站和用户的攻击。PortSwigger的官方博 客表示该漏洞的存在主要是因为Edge浏览器移植了部分来自IE浏览器的代码,这个问题在IE浏览器中已经得到修复,但是在Edge中并未修复。 Heyes表示在去年9月4日发现了这个漏洞,并已经报告给微软公司。

====================================分割线================================
文章转载自 开源中国社区[http://www.oschina.net]

时间: 2024-07-29 17:24:00

Edge 浏览器被爆存在 XSS 绕过漏洞的相关文章

Edge浏览器曝新漏洞:可被攻击者窃取cookie与密码数据

安全研究人员 Manuel Caballero 已经在微软 Windows 10 默认的 Edge 浏览器中发现了一个漏洞.攻击者们可利用它来窃取用户计算机上的密码或 cookie 数据,从而未经授权地访问其它网站的账号(比如 Facebook 或 Twitter).其解释称,漏洞源于 Edge 浏览器"同源策略"(SOP)中的一个问题,而原本这项安全措施是用来防止某个域名下的数据被另一个域名所使用. 遗憾的是,微软在部署策略的时候出现了点问题,这也是其曝出的第三个类似漏洞.更糟糕的是

PDF放心看!Win10 Edge浏览器致命安全漏洞已修复

国外安全人员曾在Win10内置Edge浏览器中发现致命安全漏洞,用户如果使用Edge浏览器查看特制PDF文件,点击"雷区"就会让攻击者获得远程代码执行权限,严重危害系统安全. 现在微软已经通过3月累积更新KB3140745(面向10240用户)和KB3140768(面向10586用户)修复了该漏洞,并且一并解决了该问题的"罪魁祸首":PDF通用库安全问题.这个库是Win10中默认内置的组件,凡是用到PDF浏览功能的应用都会调用这个库,因此潜在的安全威胁绝不仅限Edg

如何在IE/Edge浏览器中巧妙地传输HTA文件?

本文讲的是如何在IE/Edge浏览器中巧妙地传输HTA文件?, 背景 当在为客户开展渗透测试检测时,和现实的攻击者一样我们经常会使用带有攻击性质的payload执行命令.随着杀毒软件对攻击载荷的防御能力越来越强, 并且很多客户都将重点放在了检测这一方面,所以攻击者需要找到更新颖的技术才能在其目标上执行命令. 使用java程序以及flash漏洞的时代已经过去了,现在的浏览器都正在实现点击播放,而且一些情况下,他们已经废除了这些经常被攻击者采用的技术方法. 你现在可以通过组策略禁用office软件中

凭这 5 点你应该放弃 IE !改用微软 Edge 浏览器

很多 Windows 用户可能还不知道微软的 Edge 浏览器是什么,该浏览器在公布初期,曾称之为 Project Spartan,直到接近内测 登场才更名为 Microsoft Edge,再接下来按照微软的计划,Edge 将成为未来 Windows 10 的默认浏览器. 按 照微软的说法,Microsoft Edge 不支持老版本的 Windows 系统,这也是与 Internet Explorer 相比最大的区别. 前段时间在旧金山的 Build 大会上微软的 Edge 项目负责人 Char

微软全新的 Edge 浏览器有啥特别的?

当Windows 10到来时,默认浏览器不会是IE,而是最新的Edge浏览器. 根据微软提供的最新信息,Edge不仅将带来新的界面.体验和渲染引擎,还将在信息安全.网页标准,以及对以往代码的兼容方面推陈出新.近期,在微软Edge开发博客中,Edge开发团队公布了这款浏览器的更多信息. 不再支持ActiveX和BHO 对开发者而言,Edge的最大不同在于摈弃过时的浏览器技术,包括ActiveX和浏览器帮助对象(BHO).这两项技术都可以追溯至90年代IE诞生初期. ActiveX推出于1996年,

微软强化Edge浏览器沙盒访问机制:为用户筑起更高的安全屏障

即将上线的Windows 10 Creators Update中,除了改善系统界面.Cortana语音助手.游戏体验等之外,Edge浏览器也将会带来更多的改善和功能,尤其值得指出的是,通过强化沙盒让Edge浏览器变得更加安全. 微软希望强化Edge来抵御远程可执行代码的攻击,在Creators Update中沙盒将会成为Edge浏览器非常重要的安全屏障.目前Edge沙盒应用容器模型主要是以下结构: 在Creators Update中,微软计划部署全新的沙盒安全机制,进而增加沙盒漏洞被利用的难度.

数据显示 Edge 浏览器比 IE 安全多了

IE浏览器在安全性上的悲剧已经无需赘言,大量不安全的实例也让更多人转向了Chrome和Firefox浏览器.不过在Windows 10系统中,微软推出了Edge浏览器,此浏览器采用全新的UI,加入各种新功能,不仅更快,而且在安全性上也做得更好. Qualys的首席技术官Wolfgang Kandek最近就提到了Edge浏览器在安全性方面相较IE的提升,果然是质的飞跃. 就如上面的柱状图展示的那样,自8月份以来,每个月微软都要修复IE浏览器超过10个漏洞,11月份甚至修复了25个. 而Edge就好

微软解释 Edge 浏览器比 Chrome 更加安全的原因

最近,微软为针对 Windows 10 操作系统设计的 Edge 浏览器,重点介绍了一些全新的安全特性,并声称比目前浏览器领域最流行的谷歌 Chrome 以及 Mozilla Firefox 可提供更好的安全防护.微软认为,注重安全的话就应该选择 Microsoft Edge.所谓全新的安全特性,就是指 Windows Defender Application Guard 机制,这类似于虚拟机环境,能够将威胁孤立隔离,阻止这些有害的恶意代码侵入储存在本地硬盘上的文件或数据. 微软解释称,新的功能

微软解释Edge浏览器比Chrome更加安全的原因

最近,微软为针对 Windows 10 操作系统设计的 Edge 浏览器,重点介绍了一些全新的安全特性,并声称比目前浏览器领域最流行的谷歌 Chrome 以及 Mozilla Firefox 可提供更好的安全防护.微软认为,注重安全的话就应该选择 Microsoft Edge.所谓全新的安全特性,就是指 Windows Defender Application Guard 机制,这类似于虚拟机环境,能够将威胁孤立隔离,阻止这些有害的恶意代码侵入储存在本地硬盘上的文件或数据. 微软解释称,新的功能