Posted on
by

先前提到關於 Firefox 瀏覽器的擴展套件安全問題,你或者認為這種系統入侵方式很少見,畢竟可以被破解的瀏覽器為少數。事實上,已經有些工具可以拿來養木馬,像是 BindShell 開發的 BeEF (Browser Exploitation Framework)。

BeEF 整合 Metasploit 等知識庫與工具來查找各種瀏覽器的漏洞,只要你將代碼塞到受害者可能讀取的網頁,就可以即時看到對方瀏覽器版本,以及可能的入侵方法,甚至可以利用 BeEF 線上即時送出一些指令,直接侵入對方主機。;-)

  • Kuon

    好黑.

    事實上, 還是因為 BeEF 是少數對非IE漏洞持續維護更新的套件, 而且並不只著眼於記憶體類型漏洞.
    另外, 以 Firefox 為例, Bugzilla 上面(半)開放的 Security issue & test case 也是麻煩的地方.