searchusermenu
  • 发布文章
  • 消息中心
点赞
收藏
评论
分享
原创

CVE-2023-4357利用分析

2024-07-15 09:44:35
38
0

漏洞介绍:

该漏洞存在于Google Chrome 中,是一个信息泄露漏洞。116.0.5845.96 之前的 Google Chrome 中对 XML 中不受信任的输入验证不充分,导致远程攻击者可以通过诱导用户访问精心设计的 HTML 页面,进而读取到用户本地敏感文件数据。

复现情况:

利用CVE-2023-4357-Chrome-XXE的payload进行基础复现,读取本地用户的配置文件
image.png
添加数据外传,base64后保存到服务器文件
image.png
image.png

利用场景

即时聊天中直接发送链接诱使他人点击

image.png

结合XSS读取

配合XSS达到无感读取的效果
image.png

0条评论
0 / 1000
此用户不想起昵称
1文章数
0粉丝数
此用户不想起昵称
1 文章 | 0 粉丝
此用户不想起昵称
1文章数
0粉丝数
此用户不想起昵称
1 文章 | 0 粉丝
原创

CVE-2023-4357利用分析

2024-07-15 09:44:35
38
0

漏洞介绍:

该漏洞存在于Google Chrome 中,是一个信息泄露漏洞。116.0.5845.96 之前的 Google Chrome 中对 XML 中不受信任的输入验证不充分,导致远程攻击者可以通过诱导用户访问精心设计的 HTML 页面,进而读取到用户本地敏感文件数据。

复现情况:

利用CVE-2023-4357-Chrome-XXE的payload进行基础复现,读取本地用户的配置文件
image.png
添加数据外传,base64后保存到服务器文件
image.png
image.png

利用场景

即时聊天中直接发送链接诱使他人点击

image.png

结合XSS读取

配合XSS达到无感读取的效果
image.png

文章来自个人专栏
安全文章
1 文章 | 1 订阅
0条评论
0 / 1000
请输入你的评论
0
0