jkeks блог


Моя 0day для Firefox, PaleMoon , Edge, Chrome, Opera. Не критичная.

29.6.2018 - 1274 просмотрa ;)




В старых браузерах и новых на базе Firefox (PaleMoon Waterfox) и в самом свежем Firefox можно блокировать заданные клавиши, и подменять их функции своими, например F2, F5, F11, F12 и т.п. Вообще это дыра.

Теперь более страшные вещщи:
В некоторых браузерах (самых свежих кстати говоря) таких как Firefox, PaleMoon, Edge можно заблокировать сочетания Ctrl+Клавиша
Ctrl-w — Запретить закрывать окно
Ctrl-l — Переход в адресную строку

В последней Opera и Chrome не блокируются Ctrl-n например, но в остальном многие сочетания блокируются включая Ctrl-l Ctrl-b …

В какой-то момент блокировка в одном из браузеров перескочила в blank вкладку в одном из браузеров типа PaleMoon, но больше повторить такой эффект я не смог. Хотя технически это возможно судя по всему.

Короче говоря. Тут огромное поле для фишинга, обмана разного рода. Непаханое поле. Что удивительно, это кроссбраузерный, не очень страшный баг.
Дела в Хромоподобных чуть лучше, а в Gecko и Servo чуть хуже. Microsoft не отличился. Не проверял IE, даже страшно ))

Все проверено, код есть для всех браузеров.
Нашел случайно.


Мой предидущий баг был найден в Firefox + Flash и IE6 + Flash года 4 назад Баг был так же в куче версий включая ESR. Подал в Багбаунти. В баг трекере оценили около 2000$. Не выплатили ни копейки. Слили багу в Adobe и заработали сами судя по всему. Поэтому я зарекся отправлять баги особенно в Мозиллу. А баг был просто шикарный. Можно было из соседней вкладки читать нажатия клавишь.





Видеочат рулетка
jAntivirus Рейтинг@Mail.ru