稍微总结一下:
1. 在单独利用的情况下,这个漏洞只能盗取不限域名填充的信息,比如个人姓名、邮箱、电话、证件号、信用卡号、信用卡有效期、信用卡 CVV 等。不能盗取必须匹配域名的信息,例如其他站点的登录名和密码等。
2. 在配合 XSS 漏洞的情况下,这个漏洞能利用任意一个子域名的 XSS 漏洞,盗取相同主域名的其他重要域名的重要信息,例如用户名、密码,如果密码管理器支持自动填充 TOTP 的话甚至连 2FA 都没用。
原文的 PoC 利用了
issuetracker.google.com 域名的一个 XSS 漏洞,获取了
accounts.google.com 域名的登录信息+TOTP 。
3. 整个过程中,用户压根不会看到任何“请输入用户名/密码”的提示,也压根不会看到密码管理器提示“请确认是否填入登录信息”,就把密码管理器里面的信息交出去了。
我的评价:单独使用价值不大,但对其他漏洞有很好的辅助加成,能导致受害范围扩大到有良好安全习惯的用户,比如这里的 1 楼和所有给 1 楼点赞的人🐶