现在浏览器安全的噱头:防钓鱼、防恶意脚本、防溢出型网页木马。

目前薄弱的一块:跨站脚本漏洞、跨域脚本漏洞

未来的http://www.upzxt.com

ActiveX 组件设计没有考虑域安全,使用组件自身的 UPDATEu盘装 xp 功能,下载运行木马。

IE6 0DAY 和第三方浏览器跨域漏洞

IE6 0DAY

IE 内核的安全接口对伪协议的限制有疏漏。

第三方浏览器跨域漏洞

软件自身的设计或功能出现缺陷。

演示跨域漏洞导致的浏览器劫持攻击。

总结

现在浏览器还没能u盘装系统镜像防住所有的跨域攻击。

1. 跨站攻击脚本非传统的恶意脚本。

2. 浏览器底层接口漏洞,大部分都是 0DAY 漏洞。

3. 第三方浏览器设计上的疏漏导致的安全问题。

4. 部分问题不被重视,还未达到大规模的利用程度。