OSChina HTML样式漏洞

HTML元素全覆盖漏洞是一种基于用户点击实现的页面注入漏洞。通过利用某些软件潜在对HTML元素样式过滤不够透彻从而之作出一个透明的占用整个窗口的HTML元素,附加一个link即可诱导用户点击任何位置失效。一般来说HTML元素的样式漏洞要发挥作用需要配合一个XSRF或XSS的漏洞,不过不管是否有XRSF/XSS漏洞,允许制造有潜在安全隐患的HTML元素这种事情是应该被处理的。

以下文章比较一般化,并不针对OSChina这个样式漏洞。至少目前许多论坛和博客系统都潜在这个漏洞: Continue reading →