北京实时路况 对方不想说话并扔了个message By 微博网友@呆子不开口 我 乌云白帽子 多家互联网公司多年安全工作经验 新浪、腾讯、google资深网友 t66y、tumblr网新注册用户 性格和蔼可亲 小时候长的还是蛮好看的 最近十多年一直在减肥 肤浅浮躁的乌云员工眼中的我 稳重睿智的技术大牛眼中的我 他看穿了我 为了保护女网友 今天只讲技术 今天没有段子 一些浏览器跨域传输方案 postMessage Jsonp Cors document.domain+iframe window.name location.hash cross-document-messaging 跨文档通信(Cross-document messaging)提供了网页上不同文档之间的通讯能力。以往需要在相同协议、域名、端口下的页面才能用 脚本语言通讯，现在的window.postMessage方法则提供了一种安全可靠的方式来控制文档间的通信。 语法 otherWindow.postMessage(message, targetOrigin, [transfer]); 其中有四个参数： otherWindow，发送目标的window对象引用，例如同一页面间的两个iframe交互，other window就可能是 window.parent.frames[1]； message，要发送的数据； targetOrigin，发送数据的来源，一般是域名，如http://www.wooyun.com； [transfer]，用于通道通讯（Channel Messaging），用于定义端口信息。 postMessage的几个场景 Window.open返回的窗口对象 Window.opener a标签打开的窗口 form post打开的目标窗口 iframe的contentWindow Window.frames[0] Window.parent otherWindow.postMessage message从当前页发向了otherWindow postMessage postMessage 普 通 网 友 的 示 例 高 级 网 友 的 示 例 postMessage的一些漏洞案例 postMessage时的漏洞 onmessage时的漏洞 校验不严谨被绕过 收到的信息未做安全处理 xss攻击 账号被盗 敏感信息泄露 获取用户地址位置 https劫持 跨站请求触发 等等…… QQ上你点啊点/H5拿你的授权/微博oauth有点弱/提权进了你微博 微博开放平台的JSSDK使用的一个接口 https://api.weibo.com/oauth2/authorize?client_id=3063806388 &transport=html5&scope=&response_type=token&display=js&referer=http://weibo.com 点我的链接我就进你的微博 postMessage漏洞可以获得用户授权应用的accesstoken 找到一个合作方接口，高权限应用可以换取用户的gsid 用户登陆客户端会自动授权安卓客户端和ios客户端 在iframe中open目标页，无popup blocker，兼容手机客户端 某处功能泄露安卓和ios客户端两款应用的真实appkey 在cookie中设置gsid可以登陆用户的m版微博 http://www.wooyun.orgbugs/wooyun-20160207504 qq中链接支持app伪协议，微博内置浏览器的协议参数可自定义 打开的url 北京实时路况