Autor Tema: onbeforeunload setTimeout stop() trap - Firefox 3.0.8  (Leído 3396 veces)

0 Usuarios y 1 Visitante están viendo este tema.

hkm

  • Moderador
  • *
  • Mensajes: 1245
  • Liked: 292
    • Hakim.Ws
onbeforeunload setTimeout stop() trap - Firefox 3.0.8
« : abril 19, 2009, 05:26:47 pm »
Estaba jugando con los eventos de Firefox y me tope con este bug, no es un exploit o una vulnerabilidad y aun no se que potencial pueda tener.

Es un script sencillo que -te atrapa en una pagina-, no te deja moverte ni para atras ni para delante, de ninguna forma:
-No puedes usar el boton de atras
-No puedes abrir un bookmark
-No puedes usar el buscador integrado de firefox
-No puedes ir a un nuevo url escrito en la barra de direcciones
-No puedes arrastrar un archivo y abrirlo

La unica forma de salir de esa pagina seria cerrando la ventana/tab.

Código: [Seleccionar]
<script>
function trap() { setTimeout ("stop()") } onbeforeunload = trap
</script>

PoC: http://www.hakim.ws/textos/ff.trap.html


hkm

UPDATE: Al parecer ya se ha publicado antes y se le ha dado un uso posible de phishing de esta forma: http://kuza55.blogspot.com/2007/03/trapping-mozilla-for-phishing.html
« Última Modificación: abril 19, 2009, 10:03:28 pm por hkm »

hkm

  • Moderador
  • *
  • Mensajes: 1245
  • Liked: 292
    • Hakim.Ws
setInteval("stop()",0) trap - Firefox & Opera
« Respuesta #1 : abril 19, 2009, 07:17:26 pm »
Código: [Seleccionar]
<script>setInteval("stop()",0)</script>

PoC: http://www.hakim.ws/textos/ffop.trap.html

Con ese codigo -atrapas a alguien en una pagina- hasta que cierra la ventana/tab, funciona en la ultima version de Firefox y Opera.

Saludos a humberto121 por sugerir esta funcion


hkm
« Última Modificación: abril 21, 2009, 12:02:53 am por hkm »