这是一个创建于 2841 天前的主题,其中的信息可能已经有所发展或是发生改变。
前情回顾:
7 月 27 日,谷歌 Project Zero 成员 Tavis Ormandy 发现了几个 LastPass 的安全漏洞。
其中一个漏洞,出现在密码自动填充功能上。当访问一个精心构造的网址,比如http://avlidienbrunn.se/@twitter.com/@hehe.php的时候, LastPass 扩展会把当前域名认为是 twitter.com ,从而给攻击者的页面填入推特密码。
其中漏洞点:
var fixedURL = URL.match(/^(.*:\/\/[^\/]+\/.*)@/);
fixedURL && (url = url.substring(0, fixedURL[1].length) + url.substring(fixedURL[1].length).replace(/@/g, "%40"));
我的想法
一开始我认为这段正则表达式用来匹配域名。但是我发现根本匹配不出什么东西。
后来我认为它用于处理网址中包含用户名和密码的情况,如 http://123:[email protected]/ ,然后第二行用于在遇到这类情况时处理之。然而还是匹配不出任何东西。
测试:
请问一下这段代码到底是干什么的呢?
 |
1
tony1016 2016-07-29 13:07:49 +08:00
有意思,关注一下
|
 |
2
xxxyyy 2016-07-29 13:54:05 +08:00 via Android
你只要找出那个 URL 变量从哪里来的,就应该清楚了。
|
Select Language