elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Buscar Ingresar Registrarse
25 Mayo 2012, 07:16  


Tema destacado: Deseas probar algunas mejoras a la interfaz del foro? Prueba cake! acerca de

+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits (Moderador: berz3k)
| | |-+  Bug que permite atrapar a los usuarios en una pagina - Firefox & Opera		 0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Bug que permite atrapar a los usuarios en una pagina - Firefox & Opera  (Leído 2,700 veces)
hkm

Desconectado Desconectado

Mensajes: 30


http://www.hakim.ws


Ver Perfil WWW
Bug que permite atrapar a los usuarios en una pagina - Firefox & Opera
« en: 24 Mayo 2009, 23:03 »
Estaba jugando con los eventos de Firefox y me tope con este bug, no es un exploit o una vulnerabilidad y aun no se que potencial pueda tener.

Es un script sencillo que -te atrapa en una pagina-, no te deja moverte ni para atras ni para delante, de ninguna forma:
-No puedes usar el boton de atras
-No puedes abrir un bookmark
-No puedes usar el buscador integrado de firefox
-No puedes ir a un nuevo url escrito en la barra de direcciones
-No puedes arrastrar un archivo y abrirlo

La unica forma de salir de esa pagina seria cerrando la ventana/tab.

Código:
<script>
function trap() { setTimeout ("stop()") } onbeforeunload = trap
</script>

PoC: http://www.hakim.ws/textos/ff.trap.html

UPDATE: Al parecer ya se ha publicado antes y se le ha dado un uso posible de phishing de esta forma: http://kuza55.blogspot.com/2007/03/trapping-mozilla-for-phishing.html

Código:
<script>setInteval("stop()",0)</script>

PoC: http://www.hakim.ws/textos/ffop.trap.html

Con ese codigo -atrapas a alguien en una pagina- hasta que cierra la ventana/tab, funciona en la ultima version de Firefox y Opera.


hkm
ttp://www.underground.org.mx
En línea
WHK
吴阿卡
Ex-Staff
*
Desconectado Desconectado

Mensajes: 4.113


The Hacktivism is not a crime


Ver Perfil WWW
Re: Bug que permite atrapar a los usuarios en una pagina - Firefox & Opera
« Respuesta #1 en: 27 Mayo 2009, 08:18 »
Si puedes escapar...

en la barra de direcciones escribes esto:
Citar
javascript:document.write('exit');
luego te vas a google o la pagina que desees.

O directamente
Citar
javascript:document.write('exit'); document.location('http://www.google.com');

Al principio me redireccionaba a
wyciwyg://0/http://www.hakim.ws/textos/ffop.trap.html
y se quedaba pensando pero por lo menos escapaba igual del script.

Con document puedes modificar el contenido del script y desligarte como si no hubiera pasado nada.

Edito -->
http://en.wikipedia.org/wiki/WYCIWYG
Citar
WYCIWYG is an acronym that stands for What You Cache Is What You Get, or more commonly displayed in the address bar of Gecko-based Web browsers like Mozilla Firefox as wyciwyg:// when the Web browser is retrieving cached information.
En línea
Mi foro Ultra Off-Topics: http://whk.drawcoders.com/foro/

Gracias a todos! Good bye!
syskc0

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Bug que permite atrapar a los usuarios en una pagina - Firefox & Opera
« Respuesta #2 en: 13 Junio 2009, 06:02 »
pues la verdad esto solo funciona para versiones antiguas por que para mi version  3.0.11 no pasa nada pero quien dice lo provare con versiones antiguas
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Para atrapar a un cibercriminal, únete a él
Noticias 		wolfbcn 2 913 Último mensaje 22 Diciembre 2010, 21:22
por Randomize
report usuarios de una pagina web
Desarrollo Web 		cPositron 1 422 Último mensaje 25 Febrero 2011, 21:26
por cPositron
Desarrollan una aplicación que permite a los usuarios de Google+ ver sus ....
Noticias 		wolfbcn 7 933 Último mensaje 21 Julio 2011, 16:45
por Martin-Ph03n1X
Powered by SMF 1.1.16 | SMF © 2006-2008, Simple Machines