file选择文件夹
来源:互联网 发布:数据库系统的组成部分 编辑:程序博客网 时间:2024/06/06 19:23
Webkitdirectory
早在 12 年 Alan Layt 便写了这篇关于 HTML5 中上传文件夹新特性的文章(http://sapphion.com/2011/11/21/html5-folder-upload-with-webkitdirectory/),之后阿里做了个简单的 Demo 页面来说明这个特性配合 ClickJacking 是可以达到某种钓鱼效果的(https://security.alibaba.com/blog/blog.htm?spm=0.0.0.0.IYip0H&id=3),基于前面两篇文章这里做了简单的 Demo 分享一下。
Phishing
在支持 HTML5 的浏览其中嵌入:
此时文件夹变得可选择,攻击者可以实现使用 webkitdirectory 特性诱导用户点击下载选择文件夹,其背后实现的是将文件夹上传到服务端,之后我写了一个简单的 Demo 来进行测试,流程大致为:
- 编写前端钓鱼下载页面
- 诱导用户点击选择文件夹
- 过滤出用户文件夹的指定文件
- 将符合条件的文件上传至远程服务器
这里对目标文件夹内的文件格式进行过滤,防止在容量过大的情况,请求过久发现疑点。
Demo
phishing.html
_phishing.php
Case
- Windows & Unix
在测试过程中, 我们发现类 Unix 系统中招率高于 Windows (原因如图),Windows 上提示浏览文件夹与平时下载保存不同,而 Mac OS 下基本和平时下载文件操作 UI 一样,由于习惯问题直接敲下键盘回车“下载”文件的人不在少数。
阅读全文
0 0
- file选择文件夹
- 选择文件夹
- 选择文件夹
- 文件夹选择
- 选择文件夹
- 选择文件夹
- 如何用c#打开文件夹并选择文件夹内的一个文件 open folder and select file
- xcode 下创建文件夹,并在文件夹下创建文件时没有弹出选择界面,直接生成了一个 file
- C#选择文件、选择文件夹、打开文件夹
- java FIle 创建文件夹
- Java File遍历文件夹
- File 创建 读取 文件夹
- 选择文件夹的对话框
- 选择文件夹对话框代码
- 选择文件夹对话框代码
- VB选择文件夹代码
- "浏览文件夹"选择对话框
- 弹出"选择文件夹"对话框
- scrapy 下载图片 ImagesPipeline
- 160个练手CrackMe-005
- 装机教程
- 《MyBatis技术原理与实战》之SqlSession的用途
- 数据库_MySQL_由浅入深理解索引的实现
- file选择文件夹
- 一个故事讲完https
- MFC+多线程+参数传递
- java第二次作业(4)
- linux上传本地文件
- 【DP】【斜率优化】【单调队列优化】Gift 题解
- 安卓开发日记--2017.10.10
- devcpp
- STL容器
